feat: добавить поддержку Kimi K2.7 Code в ai-kimi

- Opus/Sonnet: kimi-k2.7 (флагманский программист)
- Haiku/Subagent: kimi-k2.6 (быстрый универсал)
- Проверка ключа тестирует kimi-k2.7
- Обновлён EFFORT_MAPPING.md и тесты

Co-Authored-By: Claude <noreply@anthropic.com>

EFFORT_MAPPING.md

@@ -9,9 +9,9 @@
 
 ## Таблица маппинга
 
-> Актуально на 30 мая 2026 г.
+> Актуально на 12 июня 2026 г.
 
-| Claude Code<br>`/effort` | Anthropic<br>(Claude) | GPT-5.5<br>(ChatGPT) | DeepSeek V4 | Kimi K2.6<br>(Moonshot) | Gemini 3.x |
+| Claude Code<br>`/effort` | Anthropic<br>(Claude) | GPT-5.5<br>(ChatGPT) | DeepSeek V4 | Kimi K2.7<br>(Moonshot) | Gemini 3.x |
 |:---:|:---:|:---:|:---:|:---:|:---:|
 | `low` | ✅ `low` | ✅ `low` | ⬆ `high` | 🔛 thinking on | ✅ `LOW` |
 | `medium` | ✅ `medium` | ✅ `medium` | ⬆ `high` | 🔛 thinking on | ✅ `MEDIUM` |
@@ -54,7 +54,7 @@ high → max
 - `xhigh` → автоматически поднимается до `max`
 - Маппинг выполняется на стороне DeepSeek API
 
-### Kimi K2.6 (Moonshot AI)
+### Kimi K2.7 (Moonshot AI)
 ```
 on / off
 ```
@@ -80,11 +80,37 @@ MINIMAL → LOW → MEDIUM → HIGH
 | Anthropic | Не нужен | — |
 | GPT-5.5 | effort-proxy (наш) | `~/.local/bin/claude-gpt-effort-proxy.py` |
 | DeepSeek V4 | DeepSeek API | На стороне сервера |
-| Kimi K2.6 | Moonshot API | На стороне сервера |
+| Kimi K2.7 | Moonshot API | На стороне сервера |
 | Gemini 3.x | antigravity-claude-proxy | npm пакет |
 
+## Persistence effort между сессиями
+
+Каждый лаунчер (`ai-claude`, `ai-deepseek`, `ai-kimi`, `ai-openrouter`) запоминает свой
+уровень effort отдельно. Логика гибридная:
+
+- **`low` / `medium` / `high` / `xhigh`** живут нативно в `settings.json` лаунчера.
+  `/effort` внутри сессии работает как обычно, уровень сохраняется между сессиями.
+- **`max`** — единственный, который Claude Code **не сохраняет** в `settings.json`
+  (он session-only). Поэтому его восстанавливаем через `CLAUDE_CODE_EFFORT_LEVEL`.
+  Текущий уровень (включая `max`) статусбар пишет в `~/.cache/ai-setup/effort_<launcher>`.
+
+**Важное следствие (только для `max`):** когда восстановлена `max`-сессия, выставлена
+`CLAUDE_CODE_EFFORT_LEVEL=max`, и `/effort` внутри неё **не сменит** уровень
+(env-переменная — жёсткий override Claude Code). На остальных уровнях `/effort` свободен.
+
+**Как выйти из `max` (или форсить любой уровень):** перезапусти лаунчер с `AI_EFFORT`:
+
+```bash
+AI_EFFORT=max ai-deepseek    # включить и запомнить max
+AI_EFFORT=high ai-deepseek   # вернуться на high (выйти из max)
+ai-deepseek                  # без флага - восстанавливает последний уровень
+```
+
+Дефолты при пустом кэше: `xhigh` для `ai-claude`, `high` для остальных.
+
 ## Рекомендации
 
 - **Для повседневной работы:** `high` или `xhigh` — работает одинаково хорошо у всех провайдеров
 - **`max` effort:** имеет реальный эффект только у **Anthropic** и **DeepSeek**. Для GPT маппится в `xhigh`, для Gemini и Kimi — в их максимальный уровень
 - **`low`/`medium`:** у DeepSeek и Kimi фактически не снижают reasoning — DeepSeek поднимет до `high`, Kimi просто включит thinking
+- **Смена уровня:** на `low..xhigh` обычным `/effort`; из `max` — через `AI_EFFORT=<lvl> ai-<launcher>` (в max-сессии `/effort` залочен env-переменной, см. «Persistence effort»)

home-configs/claude/hooks/account-email.sh

@@ -0,0 +1,33 @@
+#!/usr/bin/env bash
+# Определяет email Claude.ai аккаунта по OAuth-токену в credentials-файле.
+# Источник истины — сам токен (НЕ claude auth status, который читает
+# рассинхронизированный oauthAccount из ~/.claude.json).
+# Сначала локальный матчинг с сохранёнными accounts/, затем API /api/oauth/profile.
+# Использование: account-email.sh [credentials-file]  (по умолчанию ~/.claude/.credentials.json)
+
+CREDS="${1:-$HOME/.claude/.credentials.json}"
+ACCOUNTS_DIR="$HOME/.claude/accounts"
+
+[ -f "$CREDS" ] || exit 0
+token=$(jq -r '.claudeAiOauth.accessToken // empty' "$CREDS" 2>/dev/null)
+[ -z "$token" ] && exit 0
+
+# 1) Локальный матчинг по токену с сохранёнными аккаунтами (мгновенно)
+if [ -d "$ACCOUNTS_DIR" ]; then
+  for f in "$ACCOUNTS_DIR"/*.credentials.json; do
+    [ -f "$f" ] || continue
+    t=$(jq -r '.claudeAiOauth.accessToken // empty' "$f" 2>/dev/null)
+    if [ -n "$t" ] && [ "$t" = "$token" ]; then
+      basename "$f" .credentials.json
+      exit 0
+    fi
+  done
+fi
+
+# 2) Достоверно через API (по реальному владельцу токена)
+email=$(curl -s --max-time 15 "https://api.anthropic.com/api/oauth/profile" \
+  -H "Authorization: Bearer $token" \
+  -H "anthropic-beta: oauth-2025-04-20" 2>/dev/null \
+  | jq -r '.account.email // empty' 2>/dev/null)
+[ -n "$email" ] && echo "$email"
+exit 0

home-configs/claude/hooks/add-account-hook.sh

@@ -0,0 +1,47 @@
+#!/usr/bin/env bash
+# UserPromptSubmit hook: перехватывает /add-account.
+# 1) сохраняет текущий аккаунт по его реальному email (account-email.sh)
+# 2) запускает oauth-логин в фоне (открывает браузер)
+# 3) после логина фоновый процесс сам определяет email нового аккаунта по токену
+#    и сохраняет его credentials + делает current
+
+input=$(cat)
+prompt=$(echo "$input" | jq -r '.user_prompt // .prompt // empty' 2>/dev/null)
+normalized=$(echo "$prompt" | sed 's|^[[:space:]]*/||; s|[[:space:]]*$||')
+
+[ "$normalized" != "add-account" ] && exit 0
+
+CREDS="$HOME/.claude/.credentials.json"
+ACCOUNTS_DIR="$HOME/.claude/accounts"
+CURRENT_FILE="$ACCOUNTS_DIR/current"
+EMAIL_HELPER="$HOME/.claude/hooks/account-email.sh"
+
+mkdir -p "$ACCOUNTS_DIR"
+
+# Сохраняем текущий активный аккаунт под его реальным email (по токену)
+if [ -f "$CREDS" ]; then
+  cur_email=$(bash "$EMAIL_HELPER" "$CREDS" 2>/dev/null)
+  if [ -n "$cur_email" ]; then
+    cp "$CREDS" "$ACCOUNTS_DIR/${cur_email}.credentials.json"
+    chmod 600 "$ACCOUNTS_DIR/${cur_email}.credentials.json"
+    echo "$cur_email" > "$CURRENT_FILE"
+  fi
+fi
+
+# Фоновый процесс: логин нового аккаунта + автосохранение после успеха.
+# claude auth login ждёт авторизации в браузере и завершается после неё,
+# затем определяем email нового аккаунта по токену (через API) и сохраняем.
+(
+  claude auth login --claudeai </dev/null >/tmp/claude-add-account.log 2>&1
+  new_email=$(bash "$EMAIL_HELPER" "$CREDS" 2>/dev/null)
+  if [ -n "$new_email" ] && [ -f "$CREDS" ]; then
+    cp "$CREDS" "$ACCOUNTS_DIR/${new_email}.credentials.json"
+    chmod 600 "$ACCOUNTS_DIR/${new_email}.credentials.json"
+    echo "$new_email" > "$CURRENT_FILE"
+    echo "SAVED: $new_email" >> /tmp/claude-add-account.log
+  fi
+) &
+disown
+
+# exit 0: Claude загружает скилл add-account и говорит что делать
+exit 0

home-configs/claude/hooks/switch-account-hook.sh

@@ -0,0 +1,54 @@
+#!/usr/bin/env bash
+# UserPromptSubmit hook: перехватывает /switch-account и циклически меняет аккаунт.
+# Текущий аккаунт определяется ПО ТОКЕНУ в .credentials.json (account-email.sh),
+# а не по claude auth status — он читает рассинхронизированный oauthAccount.
+# На Linux Claude Code перечитывает .credentials.json на лету: новый аккаунт
+# применяется со следующего сообщения, перезапуск не нужен.
+# exit 0 (не exit 2): /switch-account доходит до Claude, грузится скилл,
+# отвечает "✓" (1 токен) — так перерисовывается статусная строка.
+
+input=$(cat)
+prompt=$(echo "$input" | jq -r '.user_prompt // .prompt // empty' 2>/dev/null)
+normalized=$(echo "$prompt" | sed 's|^[[:space:]]*/||; s|[[:space:]]*$||')
+
+[ "$normalized" != "switch-account" ] && exit 0
+
+ACCOUNTS_DIR="$HOME/.claude/accounts"
+CREDS="$HOME/.claude/.credentials.json"
+CURRENT_FILE="$ACCOUNTS_DIR/current"
+EMAIL_HELPER="$HOME/.claude/hooks/account-email.sh"
+
+mkdir -p "$ACCOUNTS_DIR"
+
+# Реальный текущий аккаунт — по токену активной сессии (не по хрупкому current)
+current=$(bash "$EMAIL_HELPER" "$CREDS" 2>/dev/null)
+[ -z "$current" ] && current=$(cat "$CURRENT_FILE" 2>/dev/null)
+
+# Сохранить актуальные (возможно обновлённые рефрешем) токены под реальным email.
+# current выведен из самого токена — порча файла другого аккаунта исключена.
+if [ -n "$current" ] && [ -f "$CREDS" ]; then
+  cp "$CREDS" "$ACCOUNTS_DIR/${current}.credentials.json"
+  chmod 600 "$ACCOUNTS_DIR/${current}.credentials.json"
+fi
+
+mapfile -t accounts < <(ls "$ACCOUNTS_DIR"/*.credentials.json 2>/dev/null \
+  | xargs -I{} basename {} .credentials.json | sort)
+
+if [ ${#accounts[@]} -le 1 ]; then
+  echo "Только один аккаунт (${current:-нет}). Добавь второй через /add-account." >&2
+  exit 2
+fi
+
+# Найти следующий по кругу
+idx=-1
+for i in "${!accounts[@]}"; do
+  [ "${accounts[$i]}" = "$current" ] && idx=$i && break
+done
+next_idx=$(( (idx + 1) % ${#accounts[@]} ))
+next="${accounts[$next_idx]}"
+
+cp "$ACCOUNTS_DIR/${next}.credentials.json" "$CREDS"
+chmod 600 "$CREDS"
+echo "$next" > "$CURRENT_FILE"
+
+exit 0

home-configs/claude/skills/add-account/SKILL.md

@@ -0,0 +1,8 @@
+---
+name: add-account
+description: Add a new Claude.ai account (handled by UserPromptSubmit hook, no LLM needed)
+---
+
+Хук сохранил текущий аккаунт и открыл браузер для логина нового. Ответь ТОЛЬКО этим текстом (без markdown, без лишних слов):
+
+Браузер открыт — авторизуйся там. После авторизации новый аккаунт сохранится автоматически и сразу станет активным (Claude Code на Linux перечитывает токен на лету). /switch-account переключает между всеми сохранёнными аккаунтами по кругу.

home-configs/claude/skills/switch-account/SKILL.md

@@ -0,0 +1,8 @@
+---
+name: switch-account
+description: Switch to next Claude.ai account (handled by UserPromptSubmit hook, no LLM needed)
+---
+
+Переключение аккаунта уже выполнено хуком до того, как ты это читаешь.
+Ответь ровно одним символом: `✓`
+Никаких инструментов. Никаких объяснений. Только `✓`.

home-configs/claude/statusline-command.sh

@@ -2,19 +2,105 @@
 input=$(cat)
 cwd=$(echo "$input" | jq -r '.cwd')
 model=$(echo "$input" | jq -r '.model.display_name // empty')
+model_id=$(echo "$input" | jq -r '.model.id // empty')
 five_pct=$(echo "$input" | jq -r '.rate_limits.five_hour.used_percentage // empty')
 five_reset=$(echo "$input" | jq -r '.rate_limits.five_hour.resets_at // empty')
 week_pct=$(echo "$input" | jq -r '.rate_limits.seven_day.used_percentage // empty')
 week_reset=$(echo "$input" | jq -r '.rate_limits.seven_day.resets_at // empty')
 ctx_pct=$(echo "$input" | jq -r '.context_window.used_percentage // empty')
 
+
+# Цвет effort: насыщенные, глубже чем пастельные (jewel tones)
+_effort_color() {
+  case "$1" in
+    low)    printf '\033[38;5;220m[low]\033[00m' ;;                           # золотой
+    medium) printf '\033[38;5;50m[medium]\033[00m' ;;                          # насыщенный teal
+    high)   printf '\033[38;5;38m[high]\033[00m' ;;                            # глубокий голубой
+    xhigh)  printf '\033[38;5;206m[xhigh]\033[00m' ;;                          # насыщенный фиолетовый
+    max)    printf '\033[38;5;210m[\033[38;5;220mm\033[38;5;114ma\033[38;5;50mx\033[38;5;206m]\033[00m' ;;  # радуга
+    *)      printf '\033[38;5;252m[%s]\033[00m' "$1" ;;
+  esac
+}
+
+# Брендовый цвет имени модели по лаунчеру
+_brand_color() {
+  case "${1:-}" in
+    deepseek)   printf '\033[38;5;69m' ;;   # DeepSeek фирменный синий
+    claude)     printf '\033[38;5;173m' ;;  # Anthropic оранжевый
+    kimi)       printf '\033[38;5;81m' ;;   # Kimi голубой
+    openrouter) printf '\033[38;5;135m' ;;  # OpenRouter фиолетовый
+    *)          printf '\033[38;5;223m' ;;  # кремовый (fallback)
+  esac
+}
+
 branch=$(git -C "$cwd" --no-optional-locks symbolic-ref --short HEAD 2>/dev/null)
 
 short_cwd="${cwd/#$HOME/\~}"
-printf "\033[00;37m%s\033[00m" "$short_cwd"
+printf "\033[38;5;252m%s\033[00m" "$short_cwd"
 
-[ -n "$branch" ] && printf " \033[00;37m[%s]\033[00m" "$branch"
-[ -n "$model" ] && printf " \033[38;5;173m%s\033[00m" "$model"
+[ -n "$branch" ] && printf " \033[38;5;252m[%s]\033[00m" "$branch"
+if [ -n "$model" ]; then
+  brand_color=$(_brand_color "${AI_LAUNCHER:-}")
+  effort=$(echo "$input" | jq -r ".effort.level // empty")
+  # Ловим выбранный уровень в кэш лаунчера (чтобы запомнить max между сессиями).
+  # Когда CLAUDE_CODE_EFFORT_LEVEL выставлена (восстановленная max-сессия) - уровень
+  # форсится env, кэш НЕ трогаем, чтобы дисплей-баг (.effort.level=xhigh) не затёр max.
+  if [ -n "${AI_LAUNCHER:-}" ] && [ -z "${CLAUDE_CODE_EFFORT_LEVEL:-}" ] && [ -n "$effort" ]; then
+    effort_file="$HOME/.cache/ai-setup/effort_${AI_LAUNCHER}"
+    if [ "$effort" != "$(cat "$effort_file" 2>/dev/null)" ]; then
+      mkdir -p "$HOME/.cache/ai-setup"
+      echo "$effort" > "$effort_file"
+    fi
+  fi
+  # Аккаунт Claude.ai актуален только для нативных моделей Claude
+  if [[ "$model_id" == claude-* ]]; then
+    account=$(cat ~/.claude/accounts/current 2>/dev/null)
+    ACCOUNTS_DIR="$HOME/.claude/accounts"
+    # Автоопределение: если current пуст или файл не существует —
+    # ищем аккаунт по access-токену в .credentials.json
+    if [ -z "$account" ] || [ ! -f "$ACCOUNTS_DIR/${account}.credentials.json" ]; then
+      current_token=$(jq -r '.claudeAiOauth.accessToken // empty' "$HOME/.claude/.credentials.json" 2>/dev/null)
+      if [ -n "$current_token" ]; then
+        for f in "$ACCOUNTS_DIR"/*.credentials.json; do
+          [ ! -f "$f" ] && continue
+          token=$(jq -r '.claudeAiOauth.accessToken // empty' "$f" 2>/dev/null)
+          if [ "$token" = "$current_token" ]; then
+            account=$(basename "$f" .credentials.json)
+            echo "$account" > "$ACCOUNTS_DIR/current"
+            break
+          fi
+        done
+	        # Если токен не найден — спрашиваем haiku (один раз на аккаунт)
+	        if [ -z "$account" ]; then
+	          sentinel="$HOME/.cache/ai-setup/email_fetch_token"
+	          prev_token=$(cat "$sentinel" 2>/dev/null)
+	          if [ "$prev_token" != "$current_token" ]; then
+	            mkdir -p "$HOME/.cache/ai-setup"
+	            echo "$current_token" > "$sentinel"
+	            email=$(unset ANTHROPIC_BASE_URL ANTHROPIC_AUTH_TOKEN; \
+	              echo 'какой имейл этого аккаунта? напиши только имейл без других слов.' | \
+	              claude --print --model claude-haiku-4-5 --dangerously-skip-permissions \
+	              --output-format text --max-turns 1 --tools "" --effort low 2>/dev/null)
+	            email=$(echo "$email" | grep -oE '[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}' | head -1)
+	            if [ -n "$email" ]; then
+	              cp "$HOME/.claude/.credentials.json" "$ACCOUNTS_DIR/${email}.credentials.json"
+	              chmod 600 "$ACCOUNTS_DIR/${email}.credentials.json"
+	              account="$email"
+	              echo "$account" > "$ACCOUNTS_DIR/current"
+	            fi
+	          fi
+	        fi
+	      fi
+	    fi
+	    [ -n "$account" ] && printf " %s[%s]\033[00m" "$brand_color" "$account"
+	  fi
+  if [ -n "$effort" ]; then
+    printf " %s%s " "$brand_color" "$model"
+    _effort_color "$effort"
+  else
+    printf " %s%s\033[00m" "$brand_color" "$model"
+  fi
+fi
 
 # Форматирует оставшееся время до сброса лимита
 fmt_remaining() {
@@ -39,21 +125,126 @@ fmt_remaining() {
 pct_color() {
   local pct="$1"
   if [ "$pct" -lt 40 ]; then
-    printf '\033[00;32m'
+    printf '\033[38;5;114m'   # мягкий зелёный
   elif [ "$pct" -lt 60 ]; then
-    printf '\033[00;33m'
+    printf '\033[38;5;220m'   # золотой (как effort low)
   else
-    printf '\033[00;31m'
+    printf '\033[38;5;210m'   # мягкий красный
   fi
 }
 
-if [[ "$model" == *[Dd]eep[Ss]eek* ]]; then
+
+# --- Баланс DeepSeek ---
+# Моментально показываем кэшированный баланс, в фоне обновляем через API.
+if [[ "$model_id" == *deepseek* ]]; then
   cache_file="$HOME/.cache/ai-setup/deepseek_balance"
   if [ -f "$cache_file" ]; then
     balance=$(head -1 "$cache_file")
-    [ -n "$balance" ] && printf " \033[00;35m\$%s\033[00m" "$balance"
+    [ -n "$balance" ] && printf " \033[38;5;78m%s\033[00m" "$balance"
+  fi
+
+  # Фоновое обновление баланса (не чаще раза в 30 секунд)
+  refresh_ts="$HOME/.cache/ai-setup/deepseek_balance_refresh_ts"
+  now=$(date +%s)
+  last=$(cat "$refresh_ts" 2>/dev/null || echo 0)
+  if [ $(( now - last )) -gt 30 ]; then
+    key_file="$HOME/.config/ai-setup/deepseek_key"
+    if [ -f "$key_file" ]; then
+      echo "$now" > "$refresh_ts" 2>/dev/null
+      (
+        api_key=$(cat "$key_file")
+        resp=$(curl -s --max-time 10 "https://api.deepseek.com/user/balance" \
+          -H "Authorization: Bearer $api_key" \
+          -H "Accept: application/json" 2>/dev/null)
+        if [ -n "$resp" ]; then
+          new_balance=$(echo "$resp" | python3 -c "
+import sys, json
+d = json.load(sys.stdin)
+infos = d.get('balance_infos', [])
+symbols = {'USD': '\$', 'CNY': '\u00a5'}
+parts = []
+for info in infos:
+    curr = info.get('currency', '')
+    total = info.get('total_balance', '0')
+    sym = symbols.get(curr, curr)
+    parts.append(f'{sym}{total}')
+if parts:
+    print(' '.join(parts))
+" 2>/dev/null)
+          if [ -n "$new_balance" ]; then
+            echo "$new_balance" > "$cache_file"
+          fi
+        fi
+      ) &
+    fi
+  fi
+elif [ "${AI_LAUNCHER:-}" = "openrouter" ]; then
+  # --- Баланс OpenRouter ---
+  # Моментально показываем кэшированный остаток, в фоне обновляем через API.
+  cache_file="$HOME/.cache/ai-setup/openrouter_balance"
+  if [ -f "$cache_file" ]; then
+    balance=$(head -1 "$cache_file")
+    [ -n "$balance" ] && printf " \033[38;5;78m%s\033[00m" "$balance"
+  fi
+
+  # Фоновое обновление баланса (не чаще раза в 30 секунд)
+  refresh_ts="$HOME/.cache/ai-setup/openrouter_balance_refresh_ts"
+  now=$(date +%s)
+  last=$(cat "$refresh_ts" 2>/dev/null || echo 0)
+  if [ $(( now - last )) -gt 30 ]; then
+    key_file="$HOME/.config/ai-setup/openrouter_key"
+    if [ -f "$key_file" ]; then
+      echo "$now" > "$refresh_ts" 2>/dev/null
+      (
+        api_key=$(cat "$key_file")
+        resp=$(curl -s --max-time 10 "https://openrouter.ai/api/v1/credits" \
+          -H "Authorization: Bearer $api_key" \
+          -H "Accept: application/json" 2>/dev/null)
+        if [ -n "$resp" ]; then
+          new_balance=$(echo "$resp" | python3 -c "
+import sys, json
+d = json.load(sys.stdin)
+data = d.get('data', {})
+total = data.get('total_credits', 0) or 0
+usage = data.get('total_usage', 0) or 0
+remaining = total - usage
+print(f'${remaining:.2f}')
+" 2>/dev/null)
+          if [ -n "$new_balance" ]; then
+            echo "$new_balance" > "$cache_file"
+          fi
+        fi
+      ) &
+    fi
   fi
 else
+  # Рейт-лимиты для НЕ-DeepSeek/OpenRouter провайдеров
+  # Кеш специфичен для провайдера (model_id) И аккаунта (account): лимиты привязаны
+  # к аккаунту, поэтому при переключении /switch-account проценты не должны смешиваться.
+  _cache_key=$(echo "${model_id:-unknown}_${account:-}" | sed 's/[^a-zA-Z0-9._-]/_/g')
+  RATE_CACHE="$HOME/.cache/ai-setup/rate_limits_${_cache_key}.cache"
+  mkdir -p "$HOME/.cache/ai-setup"
+
+  # Если есть свежие данные - сохранить в кеш
+  if [ -n "$five_pct" ] || [ -n "$week_pct" ]; then
+    {
+      echo "FIVE_PCT=${five_pct}"
+      echo "FIVE_RESET=${five_reset}"
+      echo "WEEK_PCT=${week_pct}"
+      echo "WEEK_RESET=${week_reset}"
+    } > "$RATE_CACHE"
+  fi
+
+  # Если нет данных - читать из кеша (старт сессии до первого запроса)
+  if [ -z "$five_pct" ] && [ -z "$week_pct" ] && [ -f "$RATE_CACHE" ]; then
+    # shellcheck source=/dev/null
+    source "$RATE_CACHE" 2>/dev/null
+    five_pct="${FIVE_PCT:-}"
+    five_reset="${FIVE_RESET:-}"
+    week_pct="${WEEK_PCT:-}"
+    week_reset="${WEEK_RESET:-}"
+  fi
+
   if [ -n "$five_pct" ] && [ -n "$five_reset" ]; then
     five_int=$(printf '%.0f' "$five_pct")
     remaining=$(fmt_remaining "$five_reset")
@@ -68,6 +259,9 @@ else
   fi
 fi
 
+# ctx:0% при старте новой сессии (нет данных от API)
+[ -z "$ctx_pct" ] && ctx_pct="0"
+
 if [ -n "$ctx_pct" ]; then
   ctx_int=$(printf '%.0f' "$ctx_pct")
   color=$(pct_color "$ctx_int")

scripts/ai-setup.sh

@@ -5,7 +5,12 @@
 # ============================================================
 
 CONFIG_DIR="$HOME/.config/ai-setup"
-BIN_DIR="$HOME/.local/bin"
+# Автоопределение: ~/bin если есть в PATH, иначе ~/.local/bin
+if [[ ":$PATH:" == *":$HOME/bin:"* ]]; then
+    BIN_DIR="$HOME/bin"
+else
+    BIN_DIR="$HOME/.local/bin"
+fi
 NPM_GLOBAL="$HOME/.npm-global"
 PROXY_BIN="$BIN_DIR/claude-code-proxy"
 SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")/.." && pwd)"
@@ -250,12 +255,16 @@ FJSEOF
     success "Firefox переключён на прямой доступ"
   fi
 
-  # Включаем IPv6 обратно
+  # Включаем IPv6 обратно (только если kill switch не активен)
+  if ufw status | grep -qE "активен|active"; then
+    info "UFW kill switch активен — оставляю IPv6 отключённым"
+  else
     sudo rm -f /etc/sysctl.d/99-disable-ipv6.conf
     sudo sysctl -w net.ipv6.conf.all.disable_ipv6=0 2>/dev/null || true
     sudo sysctl -w net.ipv6.conf.default.disable_ipv6=0 2>/dev/null || true
     sudo systemctl restart systemd-resolved 2>/dev/null || true
     success "IPv6 восстановлен"
+  fi
 fi
 
 # ── 1. npm prefix в домашнюю папку ──────────────────────────
@@ -658,6 +667,13 @@ if os.path.exists(settings_path):
         except json.JSONDecodeError:
             pass
 data["statusLine"] = {"type": "command", "command": f"bash {script_path}"}
+# Дефолтный effort для ai-claude (не передаётся через CLI, берётся отсюда)
+data.setdefault("effortLevel", "xhigh")
+# SessionStart хук - триггерит вызов statusLine при старте сессии
+if "hooks" not in data:
+    data["hooks"] = {}
+if "SessionStart" not in data["hooks"]:
+    data["hooks"]["SessionStart"] = [{"hooks": [{"type": "command", "command": "true"}]}]
 with open(settings_path, "w") as f:
     json.dump(data, f, indent=2, ensure_ascii=False)
     f.write("\n")
@@ -667,6 +683,121 @@ else
   warn "Файл $STATUSLINE_SRC не найден, пропускаю"
 fi
 
+# ── 6.7.0. Чистка устаревшего хука effort-save ──────────────
+# effort/model теперь персистятся нативно в settings.json каждого CLAUDE_CONFIG_DIR
+# (полная изоляция лаунчеров), самопальный кэш ~/.cache/ai-setup/{effort,model}_* не нужен.
+# Удаляем старый хук с диска и из ~/.claude/settings.json (нотифаер в Stop сохраняем).
+info "Удаляю устаревший хук effort-save..."
+rm -f "$HOME/.claude/hooks/effort-save-hook.sh"
+# Осиротевший кэш моделей (источник старой протечки между ai-*); effort_* НЕ трогаем -
+# он снова используется для персиста effort (включая max) через CLAUDE_CODE_EFFORT_LEVEL.
+rm -f "$HOME"/.cache/ai-setup/model_*
+python3 - "$HOME/.claude/settings.json" <<'PYEOF'
+import sys, json, os
+settings_path = sys.argv[1]
+if not os.path.exists(settings_path):
+    sys.exit(0)
+try:
+    with open(settings_path) as f:
+        data = json.load(f)
+except Exception:
+    sys.exit(0)
+stop = data.get("hooks", {}).get("Stop")
+if isinstance(stop, list):
+    for entry in stop:
+        hooks = entry.get("hooks")
+        if isinstance(hooks, list):
+            entry["hooks"] = [h for h in hooks if "effort-save-hook" not in h.get("command", "")]
+    data["hooks"]["Stop"] = [e for e in stop if e.get("hooks")]
+    if not data["hooks"]["Stop"]:
+        del data["hooks"]["Stop"]
+    with open(settings_path, "w") as f:
+        json.dump(data, f, indent=2, ensure_ascii=False)
+        f.write("\n")
+PYEOF
+success "Старый хук effort-save удалён"
+
+# ── 6.7.05. Хелпер account-email (определение email по токену) ──
+# Вспомогательный скрипт для хуков switch-account/add-account.
+# Не регистрируется в settings.json — вызывается из хуков напрямую.
+EMAIL_HELPER_SRC="$SCRIPT_DIR/home-configs/claude/hooks/account-email.sh"
+EMAIL_HELPER_DST="$HOME/.claude/hooks/account-email.sh"
+mkdir -p "$HOME/.claude/hooks"
+if [ -f "$EMAIL_HELPER_SRC" ]; then
+  cp "$EMAIL_HELPER_SRC" "$EMAIL_HELPER_DST"
+  chmod +x "$EMAIL_HELPER_DST"
+fi
+
+# ── 6.7.1. Хук switch-account ───────────────────────────────────
+info "Деплою хук switch-account..."
+SWITCH_HOOK_SRC="$SCRIPT_DIR/home-configs/claude/hooks/switch-account-hook.sh"
+SWITCH_HOOK_DST="$HOME/.claude/hooks/switch-account-hook.sh"
+mkdir -p "$HOME/.claude/hooks"
+if [ -f "$SWITCH_HOOK_SRC" ]; then
+  cp "$SWITCH_HOOK_SRC" "$SWITCH_HOOK_DST"
+  chmod +x "$SWITCH_HOOK_DST"
+  # Прописываем хук в settings.json (идемпотентно)
+  python3 - "$HOME/.claude/settings.json" "$SWITCH_HOOK_DST" <<'PYEOF'
+import sys, json, os
+settings_path, hook_path = sys.argv[1], sys.argv[2]
+data = {}
+if os.path.exists(settings_path):
+    with open(settings_path) as f:
+        try: data = json.load(f)
+        except json.JSONDecodeError: pass
+data.setdefault("hooks", {}).setdefault("UserPromptSubmit", [{"hooks": []}])
+hook_cmd = f'bash "{hook_path}"'
+ups = data["hooks"]["UserPromptSubmit"]
+already = any(
+    any(h.get("command", "") == hook_cmd for h in entry.get("hooks", []))
+    for entry in ups
+)
+if not already:
+    ups[0]["hooks"].append({"type": "command", "command": hook_cmd})
+with open(settings_path, "w") as f:
+    json.dump(data, f, indent=2, ensure_ascii=False)
+    f.write("\n")
+PYEOF
+  success "Хук switch-account установлен"
+else
+  warn "Файл $SWITCH_HOOK_SRC не найден, пропускаю"
+fi
+
+# ── 6.7.2. Хук add-account ──────────────────────────────────────
+info "Деплою хук add-account..."
+ADD_HOOK_SRC="$SCRIPT_DIR/home-configs/claude/hooks/add-account-hook.sh"
+ADD_HOOK_DST="$HOME/.claude/hooks/add-account-hook.sh"
+mkdir -p "$HOME/.claude/hooks"
+if [ -f "$ADD_HOOK_SRC" ]; then
+  cp "$ADD_HOOK_SRC" "$ADD_HOOK_DST"
+  chmod +x "$ADD_HOOK_DST"
+  # Прописываем хук в settings.json (идемпотентно)
+  python3 - "$HOME/.claude/settings.json" "$ADD_HOOK_DST" <<'PYEOF'
+import sys, json, os
+settings_path, hook_path = sys.argv[1], sys.argv[2]
+data = {}
+if os.path.exists(settings_path):
+    with open(settings_path) as f:
+        try: data = json.load(f)
+        except json.JSONDecodeError: pass
+data.setdefault("hooks", {}).setdefault("UserPromptSubmit", [{"hooks": []}])
+hook_cmd = f'bash "{hook_path}"'
+ups = data["hooks"]["UserPromptSubmit"]
+already = any(
+    any(h.get("command", "") == hook_cmd for h in entry.get("hooks", []))
+    for entry in ups
+)
+if not already:
+    ups[0]["hooks"].append({"type": "command", "command": hook_cmd})
+with open(settings_path, "w") as f:
+    json.dump(data, f, indent=2, ensure_ascii=False)
+    f.write("\n")
+PYEOF
+  success "Хук add-account установлен"
+else
+  warn "Файл $ADD_HOOK_SRC не найден, пропускаю"
+fi
+
 # ── 6.8. Регистрация официального маркетплейса плагинов Claude ──
 info "Настраиваю маркетплейс плагинов Claude Code..."
 if ! command -v claude &>/dev/null; then
@@ -735,13 +866,14 @@ clean_rc "$HOME/.zshrc"
 
 add_path_to_rc() {
   local rc_file="$1"
+  local bin_rel="${BIN_DIR#$HOME/}"
   if [ -f "$rc_file" ]; then
     if ! grep -q 'NPM_GLOBAL' "$rc_file" 2>/dev/null; then
-      cat >> "$rc_file" << 'PATHEOF'
+      cat >> "$rc_file" << PATHEOF
 
 # Claude Code Launcher PATH
-export NPM_GLOBAL="$HOME/.npm-global"
-export PATH="$NPM_GLOBAL/bin:$HOME/.local/bin:$PATH"
+export NPM_GLOBAL="\$HOME/.npm-global"
+export PATH="\$NPM_GLOBAL/bin:\$HOME/${bin_rel}:\$PATH"
 PATHEOF
       success "PATH добавлен в $rc_file"
     fi
@@ -808,25 +940,60 @@ try:
     if not infos:
         print('  \033[0;33m[БАЛАНС]\033[0m Нет данных о балансе')
         sys.exit(0)
-    first = True
+    symbols = {'USD': '\$', 'CNY': '¥'}
+    cache_parts = []
     for info in infos:
         curr = info.get('currency', '???')
         total = info.get('total_balance', '0')
         granted = info.get('granted_balance', '0')
         topped_up = info.get('topped_up_balance', '0')
+        sym = symbols.get(curr, curr)
         status = '✅ доступен' if available else '❌ не активен'
         print(f'  \033[1;36m💰 Баланс DeepSeek:\033[0m {total} {curr} {status}')
         if float(granted) > 0:
             print(f'     └─ Начислено: {granted} {curr}')
         if float(topped_up) > 0:
             print(f'     └─ Пополнено: {topped_up} {curr}')
-        # Cache first currency entry for statusline
-        if first:
+        cache_parts.append(f'{sym}{total}')
+    # Cache all currencies with symbols for statusline
+    if cache_parts:
         cache_dir = os.path.expanduser('~/.cache/ai-setup')
         os.makedirs(cache_dir, exist_ok=True)
         with open(os.path.join(cache_dir, 'deepseek_balance'), 'w') as f:
-                f.write(f'{total} {curr}\n')
-            first = False
+            f.write(' '.join(cache_parts) + '\n')
+except Exception as e:
+    print(f'  ⚠️ Не удалось разобрать баланс: {e}')
+" 2>/dev/null || echo -e "  \033[0;33m[БАЛАНС]\033[0m Ошибка парсинга ответа"
+}
+
+# _openrouter_balance: Query OpenRouter credits API and print balance
+# Uses /api/v1/credits (works with regular API key too)
+_openrouter_balance() {
+  local api_key="$1"
+  local response
+  response=$(curl -s --max-time 10 "https://openrouter.ai/api/v1/credits" \
+    -H "Authorization: Bearer $api_key" \
+    -H "Accept: application/json" \
+    2>/dev/null || echo "")
+  if [ -z "$response" ]; then
+    echo -e "  \033[0;33m[БАЛАНС]\033[0m Не удалось получить баланс (сеть?)"
+    return 1
+  fi
+  echo "$response" | python3 -c "
+import sys, json, os
+try:
+    d = json.load(sys.stdin)
+    data = d.get('data', {})
+    total = data.get('total_credits', 0) or 0
+    usage = data.get('total_usage', 0) or 0
+    remaining = total - usage
+    cache_dir = os.path.expanduser('~/.cache/ai-setup')
+    os.makedirs(cache_dir, exist_ok=True)
+    cache_file = os.path.join(cache_dir, 'openrouter_balance')
+    # Зелёный как у DeepSeek: \033[38;5;78m
+    print(f'  \033[1;36m💰 Баланс OpenRouter:\033[0m \033[38;5;78m\${remaining:.2f}\033[0m (загружено \${total:.2f}, потрачено \${usage:.2f})')
+    with open(cache_file, 'w') as f:
+        f.write(f'\${remaining:.2f}\n')
 except Exception as e:
     print(f'  ⚠️ Не удалось разобрать баланс: {e}')
 " 2>/dev/null || echo -e "  \033[0;33m[БАЛАНС]\033[0m Ошибка парсинга ответа"
@@ -989,6 +1156,97 @@ _open_browser() {
   else echo "Откройте вручную: $url"; fi
 }
 
+# _setup_isolated_config: готовит изолированную папку CLAUDE_CONFIG_DIR для лаунчера.
+# Каждый сторонний провайдер получает собственные settings.json и .claude.json,
+# поэтому выбор модели и кэш кастом-моделей НЕ протекают между ai-* лаунчерами.
+# Общие ресурсы (skills, CLAUDE.md) шарятся симлинком из ~/.claude.
+# model и effortLevel сидируются как дефолты - выбор юзера через /model и /effort
+# (для low/medium/high/xhigh) сохраняется нативно в этом же settings.json.
+# Уровень max обрабатывается отдельно в _apply_effort (settings.json его не хранит).
+# Использование: _setup_isolated_config <launcher> <default_model> <default_effort> <available_models_json>
+_setup_isolated_config() {
+  local launcher="$1" default_model="$2" default_effort="${3:-high}" avail="${4:-}"
+  local cfg="$HOME/.config/ai-setup/cfg/$launcher"
+  mkdir -p "$cfg"
+  # Общие ресурсы из ~/.claude (единый источник правды)
+  ln -sfn "$HOME/.claude/skills"    "$cfg/skills"
+  ln -sfn "$HOME/.claude/CLAUDE.md" "$cfg/CLAUDE.md"
+  [ -e "$HOME/.claude/agents" ] && ln -sfn "$HOME/.claude/agents" "$cfg/agents"
+  # .claude.json в свежей папке: пропускаем онбординг
+  [ -f "$cfg/.claude.json" ] || echo '{"hasCompletedOnboarding": true}' > "$cfg/.claude.json"
+  python3 - "$cfg/settings.json" "$HOME/.claude/statusline-command.sh" \
+            "$default_model" "$default_effort" "$avail" <<'PYEOF'
+import sys, json, os
+cfg_settings, statusline, model, effort, avail = sys.argv[1:6]
+data = {}
+if os.path.exists(cfg_settings):
+    try:
+        with open(cfg_settings) as f:
+            data = json.load(f)
+    except Exception:
+        pass
+# Структурные настройки лаунчера (переустанавливаем всегда)
+data["statusLine"] = {"type": "command", "command": f"bash {statusline}"}
+data["skipDangerousModePermissionPrompt"] = True
+data.setdefault("hooks", {})["SessionStart"] = [{"hooks": [{"type": "command", "command": "true"}]}]
+# availableModels - белый список пикера (политика лаунчера)
+if avail:
+    data["availableModels"] = json.loads(avail)
+else:
+    data.pop("availableModels", None)
+# model/effortLevel - сидируем дефолты, не перетирая выбор юзера (нативный persistence)
+if model:
+    data.setdefault("model", model)
+data.setdefault("effortLevel", effort)
+with open(cfg_settings, "w") as f:
+    json.dump(data, f, indent=2, ensure_ascii=False)
+    f.write("\n")
+PYEOF
+}
+
+# _apply_effort: per-launcher persistence уровня effort (гибрид).
+#  - low/medium/high/xhigh живут нативно в settings.json лаунчера -> /effort работает,
+#    уровень сохраняется между сессиями, env-переменная НЕ ставится.
+#  - max единственный нельзя сохранить в settings.json (он session-only), поэтому
+#    его восстанавливаем через CLAUDE_CODE_EFFORT_LEVEL. В такой max-сессии /effort
+#    залочен env-переменной (ограничение Claude Code).
+# Текущий уровень (вкл. max) ловит статусбар в ~/.cache/ai-setup/effort_<launcher>.
+# Сменить уровень из max: AI_EFFORT=<lvl> ai-<launcher>.
+# Использование: _apply_effort <launcher> <default_effort>
+_apply_effort() {
+  local launcher="$1" default_effort="${2:-high}"
+  local f="$HOME/.cache/ai-setup/effort_${launcher}"
+  local settings="${CLAUDE_CONFIG_DIR:-$HOME/.claude}/settings.json"
+  local eff
+  if [ -n "${AI_EFFORT:-}" ]; then
+    # Явный override: запоминаем и применяем
+    eff="$AI_EFFORT"
+    mkdir -p "$HOME/.cache/ai-setup"
+    echo "$eff" > "$f"
+  else
+    eff=$(cat "$f" 2>/dev/null)
+  fi
+  if [ "$eff" = "max" ]; then
+    # Единственный способ восстановить max между сессиями
+    export CLAUDE_CODE_EFFORT_LEVEL=max
+  elif [ -n "${AI_EFFORT:-}" ] && [ -n "$eff" ]; then
+    # Явный сброс на low/medium/high/xhigh - пишем нативно в settings.json лаунчера
+    python3 - "$settings" "$eff" <<'PYEOF'
+import sys, json, os
+p, eff = sys.argv[1], sys.argv[2]
+d = {}
+if os.path.exists(p):
+    try: d = json.load(open(p))
+    except Exception: pass
+d["effortLevel"] = eff
+os.makedirs(os.path.dirname(p), exist_ok=True)
+with open(p, "w") as fp:
+    json.dump(d, fp, indent=2, ensure_ascii=False); fp.write("\n")
+PYEOF
+  fi
+  # Иначе (≤xhigh без AI_EFFORT): ничего не делаем - effortLevel уже персистнут нативно.
+}
+
 _build_ai_sys_prompt() {
   local global_rules="$HOME/.config/ai-setup/global_rules.md"
   local global_rendered=""
@@ -1018,7 +1276,7 @@ chmod +x "$HELPERS_FILE"
 cat > "$BIN_DIR/ai-gpt" << 'GPTEOF'
 #!/usr/bin/env bash
 # ai-gpt - запуск нативного OpenAI Codex
-source "$HOME/.local/bin/ai-api-helpers.sh" 2>/dev/null || true
+source "$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)/ai-api-helpers.sh" 2>/dev/null || true
 
 codex_bin="$HOME/.npm-global/bin/codex"
 [ ! -f "$codex_bin" ] && codex_bin="$(command -v codex 2>/dev/null)"
@@ -1051,7 +1309,7 @@ chmod +x "$BIN_DIR/ai-gpt"
 # === ai-deepseek ===
 cat > "$BIN_DIR/ai-deepseek" << 'DEEPSEEKEOF'
 #!/usr/bin/env bash
-source "$HOME/.local/bin/ai-api-helpers.sh" 2>/dev/null || true
+source "$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)/ai-api-helpers.sh" 2>/dev/null || true
 
 key_file="$HOME/.config/ai-setup/deepseek_key"
 api_key=""
@@ -1107,16 +1365,33 @@ if [ -z "$api_key" ]; then
   fi
 fi
 
-SYS_PROMPT=$(_build_ai_sys_prompt)
+_PROMPT_FILE=$(mktemp /tmp/ai-sys-prompt.XXXXXX)
+trap 'rm -f "$_PROMPT_FILE"' EXIT INT TERM
+_build_ai_sys_prompt > "$_PROMPT_FILE"
+export AI_LAUNCHER=deepseek
+export CLAUDE_CONFIG_DIR="$HOME/.config/ai-setup/cfg/deepseek"
+# Пикер: DeepSeek V4 Pro (opus+sonnet, дефолт) и DeepSeek V4 Flash (haiku).
+# availableModels НЕ задаём: при кастомном провайдере он схлопывает пикер в Default.
+# Claude Code навязывает 3 слота opus/sonnet/haiku; незаданный слот показал бы чужой
+# Claude, поэтому sonnet тоже мапим на Pro (лёгкий дубль, но все пункты - DeepSeek).
+# FABLE не навязывается - не задаём. DISABLE_1M убирает [1M] дубли из пикера.
+_setup_isolated_config deepseek opus high ''
+_apply_effort deepseek high
 ANTHROPIC_BASE_URL=https://api.deepseek.com/anthropic \
 ANTHROPIC_AUTH_TOKEN="$api_key" \
-ANTHROPIC_MODEL=deepseek-v4-pro \
 ANTHROPIC_DEFAULT_OPUS_MODEL=deepseek-v4-pro \
+ANTHROPIC_DEFAULT_OPUS_MODEL_NAME="DeepSeek V4 Pro" \
+ANTHROPIC_DEFAULT_OPUS_MODEL_DESCRIPTION="DeepSeek V4 Pro - флагман для сложных задач" \
 ANTHROPIC_DEFAULT_SONNET_MODEL=deepseek-v4-pro \
+ANTHROPIC_DEFAULT_SONNET_MODEL_NAME="DeepSeek V4 Pro" \
+ANTHROPIC_DEFAULT_SONNET_MODEL_DESCRIPTION="DeepSeek V4 Pro - флагман для сложных задач" \
 ANTHROPIC_DEFAULT_HAIKU_MODEL=deepseek-v4-flash \
+ANTHROPIC_DEFAULT_HAIKU_MODEL_NAME="DeepSeek V4 Flash" \
+ANTHROPIC_DEFAULT_HAIKU_MODEL_DESCRIPTION="DeepSeek V4 Flash - быстрый и дешёвый" \
 CLAUDE_CODE_SUBAGENT_MODEL=deepseek-v4-flash \
+CLAUDE_CODE_DISABLE_1M_CONTEXT=1 \
 CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC=1 \
-claude --dangerously-skip-permissions --system-prompt "$SYS_PROMPT" "$@"
+claude --dangerously-skip-permissions --system-prompt-file "$_PROMPT_FILE" "$@"
 DEEPSEEKEOF
 chmod +x "$BIN_DIR/ai-deepseek"
 
@@ -1124,7 +1399,7 @@ chmod +x "$BIN_DIR/ai-deepseek"
 cat > "$BIN_DIR/ai-kimi" << 'KIMIEOF'
 #!/usr/bin/env bash
 # ai-kimi - запуск Claude Code через официальный Kimi Code API
-source "$HOME/.local/bin/ai-api-helpers.sh" 2>/dev/null || true
+source "$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)/ai-api-helpers.sh" 2>/dev/null || true
 
 key_file="$HOME/.config/ai-setup/kimi_key"
 api_key=""
@@ -1133,7 +1408,7 @@ api_key=""
 
 if [ -n "$api_key" ]; then
   echo -n "Проверка сохранённого Kimi ключа... "
-  _claude_test_api "https://api.kimi.com/coding/v1/messages" "x-api-key: $api_key" "kimi-k2.6"
+  _claude_test_api "https://api.kimi.com/coding/v1/messages" "x-api-key: $api_key" "kimi-k2.7"
   _handle_api_response "Kimi" "$_CLAUDE_TEST_CODE" "$_CLAUDE_TEST_BODY" "Пополните баланс: https://www.kimi.com/code"
   ret=$_API_RET
   if [ $ret -eq 401 ]; then
@@ -1153,7 +1428,7 @@ if [ -z "$api_key" ]; then
   [ -z "$api_key" ] && { echo "Выход."; exit 1; }
 
   echo -n "Проверяю ключ и баланс... "
-  _claude_test_api "https://api.kimi.com/coding/v1/messages" "x-api-key: $api_key" "kimi-k2.6"
+  _claude_test_api "https://api.kimi.com/coding/v1/messages" "x-api-key: $api_key" "kimi-k2.7"
   _handle_api_response "Kimi" "$_CLAUDE_TEST_CODE" "$_CLAUDE_TEST_BODY" "Пополните баланс: https://www.kimi.com/code"
   ret=$_API_RET
   if [ $ret -eq 0 ] || [ $ret -eq 429 ]; then
@@ -1177,16 +1452,32 @@ if ! command -v claude &>/dev/null; then
   exit 1
 fi
 
-SYS_PROMPT=$(_build_ai_sys_prompt)
+_PROMPT_FILE=$(mktemp /tmp/ai-sys-prompt.XXXXXX)
+trap 'rm -f "$_PROMPT_FILE"' EXIT INT TERM
+_build_ai_sys_prompt > "$_PROMPT_FILE"
+export AI_LAUNCHER=kimi
+export CLAUDE_CONFIG_DIR="$HOME/.config/ai-setup/cfg/kimi"
+# Пикер: Opus/Sonnet = Kimi K2.7 Code, Haiku = Kimi K2.6. availableModels НЕ задаём
+# (он схлопывает пикер в Default). Claude Code навязывает 3 слота opus/sonnet/haiku;
+# незаданный показал бы чужой Claude, поэтому opus+sonnet = K2.7, haiku = K2.6
+# DISABLE_1M убирает [1M] дубли из пикера.
+_setup_isolated_config kimi opus high ''
+_apply_effort kimi high
 ANTHROPIC_BASE_URL=https://api.kimi.com/coding \
 ANTHROPIC_AUTH_TOKEN="$api_key" \
-ANTHROPIC_MODEL=kimi-k2.6 \
-ANTHROPIC_DEFAULT_OPUS_MODEL=kimi-k2.6 \
-ANTHROPIC_DEFAULT_SONNET_MODEL=kimi-k2.6 \
+ANTHROPIC_DEFAULT_OPUS_MODEL=kimi-k2.7 \
+ANTHROPIC_DEFAULT_OPUS_MODEL_NAME="Kimi K2.7 Code" \
+ANTHROPIC_DEFAULT_OPUS_MODEL_DESCRIPTION="Kimi K2.7 Code — флагманский программист (Moonshot AI)" \
+ANTHROPIC_DEFAULT_SONNET_MODEL=kimi-k2.7 \
+ANTHROPIC_DEFAULT_SONNET_MODEL_NAME="Kimi K2.7 Code" \
+ANTHROPIC_DEFAULT_SONNET_MODEL_DESCRIPTION="Kimi K2.7 Code — флагманский программист (Moonshot AI)" \
 ANTHROPIC_DEFAULT_HAIKU_MODEL=kimi-k2.6 \
+ANTHROPIC_DEFAULT_HAIKU_MODEL_NAME="Kimi K2.6" \
+ANTHROPIC_DEFAULT_HAIKU_MODEL_DESCRIPTION="Kimi K2.6 — быстрый универсал (Moonshot AI)" \
 CLAUDE_CODE_SUBAGENT_MODEL=kimi-k2.6 \
+CLAUDE_CODE_DISABLE_1M_CONTEXT=1 \
 CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC=1 \
-claude --dangerously-skip-permissions --system-prompt "$SYS_PROMPT" "$@"
+claude --dangerously-skip-permissions --system-prompt-file "$_PROMPT_FILE" "$@"
 KIMIEOF
 chmod +x "$BIN_DIR/ai-kimi"
 
@@ -1194,7 +1485,7 @@ chmod +x "$BIN_DIR/ai-kimi"
 cat > "$BIN_DIR/ai-openrouter" << 'OPENROUTEREOF'
 #!/usr/bin/env bash
 # ai-openrouter - запуск Claude Code через OpenRouter (любые модели)
-source "$HOME/.local/bin/ai-api-helpers.sh" 2>/dev/null || true
+source "$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)/ai-api-helpers.sh" 2>/dev/null || true
 
 key_file="$HOME/.config/ai-setup/openrouter_key"
 api_key=""
@@ -1210,10 +1501,13 @@ if [ -n "$api_key" ]; then
     rm -f "$key_file"
     api_key=""
   elif [ $ret -eq 429 ]; then
+    _openrouter_balance "$api_key"
     echo -n "Продолжить всё равно? (запросы могут не проходить) [y/N] "
     read -r _ans; case "${_ans:-N}" in [Yy]*) ;; *) exit 1 ;; esac
   elif [ $ret -ne 0 ]; then
     exit 1
+  else
+    _openrouter_balance "$api_key"
   fi
 fi
 
@@ -1231,6 +1525,7 @@ if [ -z "$api_key" ]; then
     echo "$api_key" > "$key_file"
     chmod 600 "$key_file"
     echo "Ключ сохранён."
+    _openrouter_balance "$api_key"
     if [ $ret -eq 429 ]; then
       echo -n "Продолжить всё равно? (запросы могут не проходить) [y/N] "
       read -r _ans; case "${_ans:-N}" in [Yy]*) ;; *) exit 1 ;; esac
@@ -1247,16 +1542,37 @@ if ! command -v claude &>/dev/null; then
   exit 1
 fi
 
-SYS_PROMPT=$(_build_ai_sys_prompt)
+_PROMPT_FILE=$(mktemp /tmp/ai-sys-prompt.XXXXXX)
+trap 'rm -f "$_PROMPT_FILE"' EXIT INT TERM
+_build_ai_sys_prompt > "$_PROMPT_FILE"
+export AI_LAUNCHER=openrouter
+export CLAUDE_CONFIG_DIR="$HOME/.config/ai-setup/cfg/openrouter"
+# openrouter - модели, которых НЕТ в других ai-* лаунчерах (без anthropic/deepseek/
+# kimi/gemini). Пикер строится из 4 алиас-слотов + 1 custom-пункта (потолок Claude Code).
+# availableModels НЕ задаём (он схлопывает пикер). Дефолт - GPT-5.5 (custom-пункт).
+export ANTHROPIC_CUSTOM_MODEL_OPTION="openai/gpt-5.5"
+export ANTHROPIC_CUSTOM_MODEL_OPTION_NAME="GPT-5.5"
+export ANTHROPIC_CUSTOM_MODEL_OPTION_DESCRIPTION="OpenAI GPT-5.5 (OpenRouter)"
+_setup_isolated_config openrouter "openai/gpt-5.5" high ''
+_apply_effort openrouter high
 ANTHROPIC_BASE_URL=https://openrouter.ai/api \
 ANTHROPIC_AUTH_TOKEN="$api_key" \
-ANTHROPIC_MODEL=openai/gpt-5.5 \
-ANTHROPIC_DEFAULT_OPUS_MODEL=anthropic/claude-4.8-opus \
-ANTHROPIC_DEFAULT_SONNET_MODEL=anthropic/claude-4.6-sonnet \
-ANTHROPIC_DEFAULT_HAIKU_MODEL=openai/gpt-5.5 \
+ANTHROPIC_DEFAULT_OPUS_MODEL=x-ai/grok-4.20 \
+ANTHROPIC_DEFAULT_OPUS_MODEL_NAME="Grok 4.20" \
+ANTHROPIC_DEFAULT_OPUS_MODEL_DESCRIPTION="xAI Grok 4.20 (OpenRouter)" \
+ANTHROPIC_DEFAULT_SONNET_MODEL=qwen/qwen3.7-max \
+ANTHROPIC_DEFAULT_SONNET_MODEL_NAME="Qwen3.7 Max" \
+ANTHROPIC_DEFAULT_SONNET_MODEL_DESCRIPTION="Qwen3.7 Max (OpenRouter)" \
+ANTHROPIC_DEFAULT_HAIKU_MODEL=minimax/minimax-m3 \
+ANTHROPIC_DEFAULT_HAIKU_MODEL_NAME="MiniMax M3" \
+ANTHROPIC_DEFAULT_HAIKU_MODEL_DESCRIPTION="MiniMax M3 (OpenRouter)" \
+ANTHROPIC_DEFAULT_FABLE_MODEL=meta-llama/llama-4-maverick \
+ANTHROPIC_DEFAULT_FABLE_MODEL_NAME="Llama 4 Maverick" \
+ANTHROPIC_DEFAULT_FABLE_MODEL_DESCRIPTION="Meta Llama 4 Maverick (OpenRouter)" \
 CLAUDE_CODE_SUBAGENT_MODEL=openai/gpt-5.5 \
+CLAUDE_CODE_DISABLE_1M_CONTEXT=1 \
 CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC=1 \
-claude --dangerously-skip-permissions --system-prompt "$SYS_PROMPT" "$@"
+claude --dangerously-skip-permissions --system-prompt-file "$_PROMPT_FILE" "$@"
 OPENROUTEREOF
 chmod +x "$BIN_DIR/ai-openrouter"
 
@@ -1282,21 +1598,31 @@ if [ -z "$agy_bin" ] || [ ! -f "$agy_bin" ]; then
   exit 1
 fi
 
-source "$HOME/.local/bin/ai-api-helpers.sh" 2>/dev/null || true
+source "$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)/ai-api-helpers.sh" 2>/dev/null || true
 
 # agy нативно подтягивает правила и проектные .md файлы,
 # поэтому ручная инъекция SYS_PROMPT больше не требуется.
 exec "$agy_bin" --dangerously-skip-permissions "$@"
 GEMINIEOF
 chmod +x "$BIN_DIR/ai-gemini"
+# Подменяем путь к agy, если BIN_DIR отличается от ~/.local/bin
+[ "$BIN_DIR" != "$HOME/.local/bin" ] && sed -i "s|\$HOME/\.local/bin|\$HOME/${BIN_DIR#$HOME/}|g" "$BIN_DIR/ai-gemini"
 
 # === ai-claude ===
 cat > "$BIN_DIR/ai-claude" << 'CLAUDEEOF'
 #!/usr/bin/env bash
 # ai-claude - запуск оригинального Claude Code (Anthropic)
-source "$HOME/.local/bin/ai-api-helpers.sh" 2>/dev/null || true
-SYS_PROMPT=$(_build_ai_sys_prompt)
-exec claude --dangerously-skip-permissions --system-prompt "$SYS_PROMPT" "$@"
+source "$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)/ai-api-helpers.sh" 2>/dev/null || true
+_PROMPT_FILE=$(mktemp /tmp/ai-sys-prompt.XXXXXX)
+trap 'rm -f "$_PROMPT_FILE"' EXIT INT TERM
+_build_ai_sys_prompt > "$_PROMPT_FILE"
+export AI_LAUNCHER=claude
+# ai-claude работает в дефолтном ~/.claude (нативный логин и аккаунты).
+# Модель хранится нативно в ~/.claude/settings.json; другие ai-* лаунчеры теперь
+# изолированы в своих CLAUDE_CONFIG_DIR, поэтому в пикер не протекают чужие модели -
+# показываются только нативные модели Claude Code.
+_apply_effort claude xhigh
+claude --dangerously-skip-permissions --system-prompt-file "$_PROMPT_FILE" "$@"
 CLAUDEEOF
 chmod +x "$BIN_DIR/ai-claude"
 
@@ -1308,13 +1634,21 @@ if [ "$USE_VLESS" -eq 1 ]; then
   sed -i 's/^claude --dangerously-skip-permissions/proxychains4 -f "\$HOME\/\.proxychains-xray\.conf" claude --dangerously-skip-permissions/' "$BIN_DIR/ai-kimi"
   sed -i 's/^claude --dangerously-skip-permissions/proxychains4 -f "\$HOME\/\.proxychains-xray\.conf" claude --dangerously-skip-permissions/' "$BIN_DIR/ai-openrouter"
   sed -i 's/^\([[:space:]]*\)exec "\$agy_bin"/\1exec proxychains4 -f "\$HOME\/\.proxychains-xray\.conf" "\$agy_bin"/' "$BIN_DIR/ai-gemini"
-  sed -i 's/^exec claude/exec proxychains4 -f "\$HOME\/\.proxychains-xray\.conf" claude/' "$BIN_DIR/ai-claude"
+  sed -i 's/^claude --dangerously-skip-permissions/proxychains4 -f "\$HOME\/\.proxychains-xray\.conf" claude --dangerously-skip-permissions/' "$BIN_DIR/ai-claude"
   success "proxychains4 интегрирован"
 fi
 
 info "Удаляю старые версии скриптов (claude_*)..."
 rm -f "$BIN_DIR/claude_gpt" "$BIN_DIR/claude_deepseek" "$BIN_DIR/claude_kimi" "$BIN_DIR/claude_gemini" "$BIN_DIR/claude_api_helpers.sh"
 
+# Если переехали на ~/bin — удаляем старые скрипты из ~/.local/bin
+if [ "$BIN_DIR" != "$HOME/.local/bin" ]; then
+  warn "BIN_DIR=$BIN_DIR — удаляю старые скрипты из ~/.local/bin/ ..."
+  rm -f "$HOME/.local/bin/ai-gpt" "$HOME/.local/bin/ai-deepseek" "$HOME/.local/bin/ai-kimi" \
+        "$HOME/.local/bin/ai-openrouter" "$HOME/.local/bin/ai-gemini" "$HOME/.local/bin/ai-claude" \
+        "$HOME/.local/bin/ai-api-helpers.sh" "$HOME/.local/bin/claude-gpt-effort-proxy.py"
+fi
+
 success "Скрипты сгенерированы."
 
 # ── 9. Итог ──────────────────────────────────────────────────
@@ -1323,12 +1657,12 @@ echo -e "${GREEN}═════════════════════
 echo -e "${GREEN}  Установка завершена!${NC}"
 echo -e "${GREEN}════════════════════════════════════════════════════${NC}"
 echo ""
-echo "Доступные команды (теперь это независимые скрипты в ~/.local/bin):"
+echo "Доступные команды (теперь это независимые скрипты в ~/${BIN_DIR#$HOME/}):"
 echo ""
 echo "  На базе Claude Code:"
 echo -e "    ${CYAN}ai-claude${NC}          - Оригинальный Claude Code (Anthropic)"
 echo -e "    ${CYAN}ai-deepseek${NC}        - DeepSeek (через Claude Code, API ключ сохраняется)"
-echo -e "    ${CYAN}ai-kimi${NC}            - Kimi K2.6 (через Claude Code, API ключ сохраняется)"
+echo -e "    ${CYAN}ai-kimi${NC}            - Kimi K2.7 Code (через Claude Code, API ключ сохраняется)"
 echo -e "    ${CYAN}ai-openrouter${NC}      - OpenRouter (через Claude Code: GPT-5.5, Opus 4.8, Sonnet 4.6)"
 echo ""
 echo "  Нативные CLI:"

scripts/ks-on.sh

@@ -21,20 +21,24 @@ if ! ip link show amn0 &>/dev/null && ! ip link show amnezia0 &>/dev/null; then
     fi
 fi
 
-# Проверяем IPv6 — глобальные адреса могут утекать мимо VPN
+# Отключаем IPv6 (утечка мимо UFW kill switch, UFW работает только с IPv4)
 ipv6_cnt=$(ip -6 addr show scope global 2>/dev/null | grep -c 'inet6' || true)
 if [ "$ipv6_cnt" -gt 0 ]; then
-    echo ""
-    echo "Обнаружены глобальные IPv6 адреса ($ipv6_cnt шт.) — трафик может утекать мимо VPN."
-    read -p "Отключить IPv6? [Y/n] " ans
-    if [ "$ans" != "n" ] && [ "$ans" != "N" ]; then
     sysctl -w net.ipv6.conf.all.disable_ipv6=1 >/dev/null
     sysctl -w net.ipv6.conf.default.disable_ipv6=1 >/dev/null
-        echo "IPv6 отключён."
-    fi
+    cat > /etc/sysctl.d/99-disable-ipv6.conf << 'SYSCTEOF'
+# Отключение IPv6 — требуется для защиты kill switch (UFW работает только с IPv4)
+net.ipv6.conf.all.disable_ipv6=1
+net.ipv6.conf.default.disable_ipv6=1
+SYSCTEOF
+    systemctl restart systemd-resolved 2>/dev/null || true
+    echo "IPv6 отключён ($ipv6_cnt адресов)."
 fi
 
 echo "Включаем UFW kill switch..."
+	ufw default deny outgoing >/dev/null 2>&1 || true
+	ufw allow out on amn0 >/dev/null 2>&1 || true
+
 ufw enable
 echo ""
 echo "Готово. Kill switch активен."

scripts/ru-bypass.sh

@@ -11,9 +11,49 @@
 #
 # Использование: sudo bash ru-bypass.sh
 
+# Сохраняем env-переменные до загрузки конфига (env имеет приоритет)
+_env_gw="${GATEWAY:-}"
+_env_dev="${DEV:-}"
+_env_local_dns="${LOCAL_DNS:-}"
+_env_amn_srv="${AMNEZIA_SERVER:-}"
+_env_ks_exc="${KILL_SWITCH_EXCEPTIONS:-}"
+
+# Загружаем сохранённый конфиг (для запуска из systemd/NM dispatcher без env)
+[ -f /etc/ru-bypass.conf ] && . /etc/ru-bypass.conf
+
+# ENV-переменные имеют приоритет над конфигом
+[ -n "$_env_gw" ] && GATEWAY="$_env_gw"
+[ -n "$_env_dev" ] && DEV="$_env_dev"
+[ -n "$_env_local_dns" ] && LOCAL_DNS="$_env_local_dns"
+[ -n "$_env_amn_srv" ] && AMNEZIA_SERVER="$_env_amn_srv"
+[ -n "$_env_ks_exc" ] && KILL_SWITCH_EXCEPTIONS="$_env_ks_exc"
+
+# Дефолты (если ни конфиг, ни env не задали значение)
 GATEWAY="${GATEWAY:-192.168.1.1}"
 DEV="${DEV:-wlp1s0}"
 LOCAL_DNS="${LOCAL_DNS:-}"
+AMNEZIA_SERVER="${AMNEZIA_SERVER:-}"
+KILL_SWITCH_EXCEPTIONS="${KILL_SWITCH_EXCEPTIONS:-}"
+
+# Базовые исключения, необходимые для работы корпоративных сервисов
+# Добавляются автоматически, даже если не указаны в конфиге
+_BUILTIN_EXCEPTIONS="mattermost.eltex-co.ru elph.eltex-co.ru 10.80.0.15"
+for _exc in $_BUILTIN_EXCEPTIONS; do
+	case " $KILL_SWITCH_EXCEPTIONS " in
+		*" $_exc "*) ;;
+		*) KILL_SWITCH_EXCEPTIONS="$KILL_SWITCH_EXCEPTIONS $_exc" ;;
+	esac
+done
+KILL_SWITCH_EXCEPTIONS="${KILL_SWITCH_EXCEPTIONS# }"
+
+# Сохраняем конфиг для будущих запусков (systemd, NM dispatcher)
+cat > /etc/ru-bypass.conf <<_CONF
+GATEWAY="$GATEWAY"
+DEV="$DEV"
+LOCAL_DNS="$LOCAL_DNS"
+AMNEZIA_SERVER="$AMNEZIA_SERVER"
+KILL_SWITCH_EXCEPTIONS="$KILL_SWITCH_EXCEPTIONS"
+_CONF
 SETNAME="ru-direct"
 CACHE="/var/cache/ru-delegations.txt"
 IPSET_SAVE="/etc/ipset.conf"
@@ -117,6 +157,34 @@ EOF
     echo "NetworkManager dispatcher установлен."
 fi
 
+# --- Локальные хосты (фиксируем IP для доменов, которые должны резолвиться локально) ---
+# Без этого DNS через VPN может вернуть внешний IP вместо внутреннего,
+# и трафик пойдёт через VPN вместо прямого соединения.
+HOSTS_MARKER="# ru-bypass: local hosts"
+
+# Удаляем старый блок целиком (от маркера до конца файла)
+# и заодно чистим дубликаты от старых версий скрипта (без маркера)
+sed -i "/$HOSTS_MARKER/,\$ d; /eltex\.loc/d; /eltex-co\.ru/d" /etc/hosts
+
+# Добавляем актуальные
+cat >> /etc/hosts <<_HOSTS
+$HOSTS_MARKER
+# Eltex corporate services (*.eltex.loc, mattermost, elph)
+172.16.0.3 eltex.loc
+172.16.5.103 intdocs.eltex.loc
+172.16.5.251 red.eltex.loc
+172.16.1.17 gitlab.eltex.loc
+172.16.1.106 pixso.eltex.loc
+172.16.1.94 mcpe-builder.eltex.loc
+172.16.5.63 proxy.eltex.loc
+10.80.0.16 ssw.eltex.loc
+172.16.5.78 nexus.eltex.loc
+172.16.1.149 cpe-worker.eltex.loc
+172.16.5.22 mattermost.eltex-co.ru elph.eltex-co.ru ecss-elph-proxy.eltex-co.ru
+_HOSTS
+
+echo "Локальные хосты: *.eltex.loc, mattermost, elph → /etc/hosts"
+
 # --- Обновляем RIPE-список (кэш 24ч) ---
 
 if [ ! -f "$CACHE" ] || [ $(( $(date +%s) - $(stat -c %Y "$CACHE" 2>/dev/null || echo 0) )) -gt 86400 ]; then
@@ -159,9 +227,34 @@ import sys; print(f'# entries: {entries}', file=sys.stderr)
 ENTRIES=$(ipset list "$SETNAME" 2>/dev/null | grep -c '/')
 echo "ipset обновлён: $ENTRIES записей"
 
-# Сохраняем ipset на диск — ru-ipset-restore.service восстановит его до UFW при перезагрузке
-ipset save "$SETNAME" > "$IPSET_SAVE"
-echo "ipset сохранён в $IPSET_SAVE"
+
+
+
+# --- Исключения для kill switch ---
+
+# AMNEZIA_SERVER — IP/домены серверов Amnezia (нужны для поднятия VPN при активном kill switch)
+# KILL_SWITCH_EXCEPTIONS — дополнительные IP/домены, доступные напрямую даже при kill switch
+ALL_EXC="${AMNEZIA_SERVER} ${KILL_SWITCH_EXCEPTIONS}"
+if [ -n "${ALL_EXC// }" ]; then
+	for item in $ALL_EXC; do
+		if echo "$item" | grep -qE "^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+$"; then
+			ips="$item"
+		else
+			ips=$(getent hosts "$item" 2>/dev/null | awk '{print $1}' | sort -u)
+		fi
+		for ip in $ips; do
+			ipset add ru-direct "$ip" -exist 2>/dev/null || true
+			echo "Исключение kill switch: $item → $ip (ipset)"
+		done
+	done
+fi
+
+ipset save ru-direct > /etc/ipset.conf
+echo "ipset сохранён в /etc/ipset.conf"
+
+
+
+
 
 # --- Добавляем маршруты ---
 
@@ -194,6 +287,25 @@ for net in $LOCAL_NETS; do
     ip route replace "$net" via "$GATEWAY" dev "$DEV" 2>/dev/null
 done
 
+# Маршруты для исключений kill switch
+ALL_EXC="${AMNEZIA_SERVER} ${KILL_SWITCH_EXCEPTIONS}"
+if [ -n "${ALL_EXC// }" ]; then
+	for item in $ALL_EXC; do
+		if echo "$item" | grep -qE "^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+$"; then
+			ips="$item"
+		else
+			ips=$(getent hosts "$item" 2>/dev/null | awk '{print $1}' | sort -u)
+		fi
+		for ip in $ips; do
+			ip route replace "$ip/32" via "$GATEWAY" dev "$DEV" 2>/dev/null
+			echo "Маршрут для исключения: $item → $ip"
+		done
+	done
+fi
+
+
+
+
 # --- DNS для *.loc через LOCAL_DNS (если задан) ---
 
 if [ -n "$LOCAL_DNS" ]; then
@@ -206,28 +318,75 @@ if [ -n "$LOCAL_DNS" ]; then
     fi
 fi
 
-# --- Правило в UFW before.rules (однократно, после создания ipset) ---
+# --- Правила в UFW before.rules (обновляются при каждом запуске) ---
+# Маркеры используются для идентификации правил; DEV всегда актуальный.
 
-UFW_MARKER="match-set $SETNAME"
-if ! grep -q "$UFW_MARKER" "$UFW_BEFORE" 2>/dev/null; then
-    echo "Добавляем правило в UFW before.rules..."
-    sed -i "0,/^COMMIT/{s/^COMMIT/# .ru bypass (ipset $SETNAME)\n-A ufw-before-output -m set --match-set $SETNAME dst -o $DEV -j ACCEPT\nCOMMIT/}" "$UFW_BEFORE"
-    echo "UFW обновлён (.ru ipset)."
+UFW_IPSET_MARKER="ru-bypass: ipset $SETNAME"
+UFW_LOCAL_MARKER="ru-bypass: local-nets-bypass"
+
+echo "Обновляем правила UFW before.rules..."
+
+# Удаляем старые правила (если есть) — и в новом, и в старом формате маркеров
+sed -i "/# $UFW_IPSET_MARKER/d; /# \.ru bypass (ipset $SETNAME)/d" "$UFW_BEFORE"
+sed -i "/-A ufw-before-output -m set --match-set $SETNAME dst/d" "$UFW_BEFORE"
+sed -i "/# $UFW_LOCAL_MARKER/d; /# local nets bypass (local-nets-bypass)/d" "$UFW_BEFORE"
+sed -i "/-A ufw-before-output -d 10\.0\.0\.0\/8 -o/d" "$UFW_BEFORE"
+sed -i "/-A ufw-before-output -d 172\.16\.0\.0\/12 -o/d" "$UFW_BEFORE"
+sed -i "/-A ufw-before-output -d 192\.168\.0\.0\/16 -o/d" "$UFW_BEFORE"
+
+# Добавляем правила заново с актуальным DEV
+sed -i "0,/^COMMIT/{s/^COMMIT/# $UFW_IPSET_MARKER\n-A ufw-before-output -m set --match-set $SETNAME dst -o $DEV -j ACCEPT\nCOMMIT/}" "$UFW_BEFORE"
+sed -i "0,/^COMMIT/{s/^COMMIT/# $UFW_LOCAL_MARKER\n-A ufw-before-output -d 10.0.0.0\/8 -o $DEV -j ACCEPT\n-A ufw-before-output -d 172.16.0.0\/12 -o $DEV -j ACCEPT\n-A ufw-before-output -d 192.168.0.0\/16 -o $DEV -j ACCEPT\nCOMMIT/}" "$UFW_BEFORE"
+
+echo "UFW before.rules обновлён (ipset + локальные сети, DEV=$DEV)."
+
+# --- Исправляем MANAGE_BUILTINS (должен быть yes, иначе before.rules не вызывается) ---
+if grep -q '^MANAGE_BUILTINS=no' /etc/default/ufw 2>/dev/null; then
+    sed -i 's/^MANAGE_BUILTINS=no/MANAGE_BUILTINS=yes/' /etc/default/ufw
+    echo "UFW: MANAGE_BUILTINS исправлен (no → yes)."
 fi
 
-UFW_LOCAL_MARKER="local-nets-bypass"
-if ! grep -q "$UFW_LOCAL_MARKER" "$UFW_BEFORE" 2>/dev/null; then
-    echo "Добавляем правила UFW для локальных сетей..."
-    sed -i "0,/^COMMIT/{s/^COMMIT/# local nets bypass ($UFW_LOCAL_MARKER)\n-A ufw-before-output -d 10.0.0.0\/8 -o $DEV -j ACCEPT\n-A ufw-before-output -d 172.16.0.0\/12 -o $DEV -j ACCEPT\n-A ufw-before-output -d 192.168.0.0\/16 -o $DEV -j ACCEPT\nCOMMIT/}" "$UFW_BEFORE"
-    echo "UFW обновлён (локальные сети)."
-fi
+# --- Настройка UFW default deny + allow amn0 (однократно) ---
+ufw default deny outgoing >/dev/null 2>&1 || true
+ufw allow out on amn0 >/dev/null 2>&1 || true
+
+if grep -qE "$UFW_IPSET_MARKER|$UFW_LOCAL_MARKER" "$UFW_BEFORE" 2>/dev/null; then
 
-if grep -qE "$UFW_MARKER|$UFW_LOCAL_MARKER" "$UFW_BEFORE" 2>/dev/null; then
     if ufw status | grep -qE "активен|active"; then
         ufw reload
     fi
 fi
 
+# --- Прямые правила iptables (гарантия работы даже при MANAGE_BUILTINS=no) ---
+echo "Добавляем прямые правила iptables..."
+
+# Правило для ipset ru-direct (RU-IP + исключения kill switch)
+iptables -C OUTPUT -m set --match-set "$SETNAME" dst -o "$DEV" -j ACCEPT 2>/dev/null || \
+    iptables -I OUTPUT 1 -m set --match-set "$SETNAME" dst -o "$DEV" -j ACCEPT
+
+# Правила для локальных сетей (RFC1918)
+for _net in 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16; do
+    iptables -C OUTPUT -d "$_net" -o "$DEV" -j ACCEPT 2>/dev/null || \
+        iptables -I OUTPUT 1 -d "$_net" -o "$DEV" -j ACCEPT
+done
+
+echo "iptables: прямые правила добавлены."
+
+# --- Отключаем IPv6 (утечка мимо UFW kill switch) ---
+# UFW работает только с IPv4 — IPv6-трафик обходит kill switch полностью.
+_ipv6_cnt=$(ip -6 addr show scope global 2>/dev/null | grep -c 'inet6' || true)
+if [ "$_ipv6_cnt" -gt 0 ]; then
+    sysctl -w net.ipv6.conf.all.disable_ipv6=1 >/dev/null 2>&1
+    sysctl -w net.ipv6.conf.default.disable_ipv6=1 >/dev/null 2>&1
+    cat > /etc/sysctl.d/99-disable-ipv6.conf << 'SYSCTEOF'
+# Отключение IPv6 — требуется для защиты kill switch (UFW работает только с IPv4)
+net.ipv6.conf.all.disable_ipv6=1
+net.ipv6.conf.default.disable_ipv6=1
+SYSCTEOF
+    systemctl restart systemd-resolved 2>/dev/null || true
+    echo "IPv6: отключён ($_ipv6_cnt адресов) для защиты kill switch."
+fi
+
 echo ""
 echo "Готово."
 RU_EXAMPLE=$(dig +short ya.ru A 2>/dev/null | head -1)

setup.sh

@@ -56,7 +56,7 @@ else
   echo -e "     ${GRY}Тесты маршрутизации: .ru напрямую, остальное через Amnezia.${CLR}"
   echo ""
   echo -e "  ${BLD}7) Обновить${CLR}"
-  echo -e "     ${GRY}git pull + перегенерация всех скриптов в ~/.local/bin.${CLR}"
+  echo -e "     ${GRY}git pull + перегенерация всех скриптов в ~/bin (или ~/.local/bin).${CLR}"
   echo ""
   echo -n "Выбери [1-7] или Enter для выхода: "
   read -r choice
@@ -93,10 +93,14 @@ case "$choice" in
     auto_gw="${auto_gw:-192.168.1.1}"
     auto_dev="${auto_dev:-wlp1s0}"
     saved_local_dns=""
+    saved_amn_srv=""
+    saved_ks_exc=""
     if [ -f "$net_conf" ]; then
         saved_gw=$(grep '^GATEWAY=' "$net_conf" | cut -d= -f2)
         saved_dev=$(grep '^DEV=' "$net_conf" | cut -d= -f2)
         saved_local_dns=$(grep '^LOCAL_DNS=' "$net_conf" | cut -d= -f2)
+        saved_amn_srv=$(grep '^AMNEZIA_SERVER=' "$net_conf" | cut -d= -f2)
+        saved_ks_exc=$(grep '^KILL_SWITCH_EXCEPTIONS=' "$net_conf" | cut -d= -f2)
         auto_gw="${saved_gw:-$auto_gw}"
         auto_dev="${saved_dev:-$auto_dev}"
         echo -e "Загружены параметры профиля ${BLD}${chosen_profile}${CLR}: GATEWAY=${BLD}${auto_gw}${CLR}  DEV=${BLD}${auto_dev}${CLR}"
@@ -108,13 +112,18 @@ case "$choice" in
     read -rp "GATEWAY (IP роутера)          [${auto_gw}]: " gw
     read -rp "DEV (интерфейс)               [${auto_dev}]: " dev
     read -rp "LOCAL_DNS (DNS для *.loc)      [${saved_local_dns:-пусто}]: " local_dns
+    read -rp "AMNEZIA_SERVER (IP/домен сервера Amnezia)  [${saved_amn_srv:-пусто}]: " amn_srv
+    read -e -rp "KS_EXCEPTIONS (исключения kill switch: IP/домены через пробел): " -i "${saved_ks_exc}" ks_exc
     gw="${gw:-$auto_gw}"
     dev="${dev:-$auto_dev}"
     [ "$local_dns" = "пусто" ] && local_dns=""
     local_dns="${local_dns:-$saved_local_dns}"
-    printf 'GATEWAY=%s\nDEV=%s\nLOCAL_DNS=%s\n' "$gw" "$dev" "$local_dns" > "$net_conf"
+    [ "$amn_srv" = "пусто" ] && amn_srv=""
+    amn_srv="${amn_srv:-$saved_amn_srv}"
+    [ "$ks_exc" = "пусто" ] && ks_exc=""
+    printf 'GATEWAY=%s\nDEV=%s\nLOCAL_DNS=%s\nAMNEZIA_SERVER=%s\nKILL_SWITCH_EXCEPTIONS=%s\n' "$gw" "$dev" "$local_dns" "$amn_srv" "$ks_exc" > "$net_conf"
     echo ""
-    sudo GATEWAY="$gw" DEV="$dev" LOCAL_DNS="$local_dns" USER_HOME="$HOME" bash scripts/ru-bypass.sh
+    sudo GATEWAY="$gw" DEV="$dev" LOCAL_DNS="$local_dns" AMNEZIA_SERVER="$amn_srv" KILL_SWITCH_EXCEPTIONS="$ks_exc" USER_HOME="$HOME" bash scripts/ru-bypass.sh
     ;;
   3)
     echo -e "${YEL}Перед этим выйди из Claude Code — сессия сменит IP.${CLR}"

tests/test_fixes.sh

@@ -48,11 +48,12 @@ test_kimi_claude_launcher() {
 # ── ai-kimi: uses official Kimi API ──────────────────────────────────────
 test_kimi_official_api() {
   if echo "$KIMI_SECTION" | grep -q 'api.kimi.com/coding' \
-    && echo "$KIMI_SECTION" | grep -q 'ANTHROPIC_MODEL=kimi-k2.6' \
+    && echo "$KIMI_SECTION" | grep -q 'ANTHROPIC_DEFAULT_OPUS_MODEL=kimi-k2.7' \
+    && echo "$KIMI_SECTION" | grep -q 'ANTHROPIC_DEFAULT_HAIKU_MODEL=kimi-k2.6' \
     && ! echo "$KIMI_SECTION" | grep -q 'artemox'; then
-    ok "ai-kimi: uses official Kimi API and model"
+    ok "ai-kimi: uses official Kimi API (K2.7 opus/sonnet, K2.6 haiku)"
   else
-    fail "ai-kimi: must use official Kimi API (api.kimi.com/coding) and model kimi-k2.6"
+    fail "ai-kimi: must use official Kimi API (api.kimi.com/coding) with K2.7 opus/sonnet, K2.6 haiku"
   fi
 }
 

tests/test_network.sh

@@ -26,7 +26,13 @@ check() {
 
 echo "=== 1. Проверка окружения ==="
 check "Amnezia интерфейс (amn0) существует" "amn0" "ip link show amn0 2>/dev/null"
-check "wlp1s0 wifi интерфейс" "wlp1s0" "ip link show wlp1s0 2>/dev/null"
+
+# Определяем DEV из конфига или из default route
+if [ -f "$HOME/.config/ai-setup/network_$(hostname).conf" ]; then
+    source "$HOME/.config/ai-setup/network_$(hostname).conf"
+fi
+DEV="${DEV:-$(ip route show default 2>/dev/null | awk '/default/ {print $5; exit}')}"
+echo "  DEV=$DEV (из конфига)"
 
 IPSET_INFO=$(sudo ipset list ru-direct 2>/dev/null)
 if [ -n "$IPSET_INFO" ]; then
@@ -44,7 +50,7 @@ else
 fi
 echo ""
 echo "=== 2. Маршрутизация .ru vs не-.ru ==="
-check ".ru IP ($RU_IP) → НЕ через amn0" "wl[pi]" "ip route get $RU_IP 2>/dev/null"
+check ".ru IP ($RU_IP) → НЕ через amn0" "$DEV" "ip route get $RU_IP 2>/dev/null"
 check "8.8.8.8 → через amn0" "amn0" "ip route get 8.8.8.8 2>/dev/null"
 check "1.1.1.1 → через amn0" "amn0" "ip route get 1.1.1.1 2>/dev/null"
 
@@ -74,7 +80,7 @@ check "NM dispatcher есть" "99-ru-bypass" "ls -la /etc/NetworkManager/dispat
 echo ""
 echo "=== 6. Краевые случаи ==="
 check "api.anthropic.com → amn0" "amn0" "ip route get $(dig +short api.anthropic.com A | head -1) 2>/dev/null"
-check "ya.ru → НЕ через amn0 (прямо)" "wl[pi]" "ip route get $(dig +short ya.ru A | head -1) 2>/dev/null"
+check "ya.ru → НЕ через amn0 (прямо)" "$DEV" "ip route get $(dig +short ya.ru A | head -1) 2>/dev/null"
 
 echo ""
 echo "=== 7. Geo: внешние IP ==="