[aside] #337(opt-in bwrap sandbox)は merge 済だが `--sandbox` の goose edit/pr が commit 不能 ── follow-up fix 要

#337 取り込みレビューでコードレベル確認。`goose_bwrap_args`(sandbox.rs)が `repo_root` を ro-bind / worktree subtree のみ rw-bind で、**`repo_root/.git/objects`・`.git/worktrees/<name>` を rw-bind しない**。linked worktree(`.claude/worktrees/goose-edit-<slug>`)の commit は ro な repo `.git` に objects/refs を書くので read-only-fs で失敗 → `commits_since=0` → no-commit → PR 出ず。= **`--sandbox` は edit/pr で機能せず実質 verify 専用**。

opt-in/off-by-default かつ default-off の挙動不変は verified なので **merge 自体は安全(回帰なし)**、`--sandbox` を edit/pr で使った時だけ顕在化。

fix 案: `repo_root/.git/objects` + `.git/worktrees/<worktree名>` を rw-bind + git identity(`~/.gitconfig` ro-bind or `GIT_AUTHOR_*`/`GIT_COMMITTER_*` env)→ その後 `--once --sandbox` の edit job で commit 成功 + LLM proxy 越し到達 + FS 境界(~/.ssh 不可視・.git 書込可)を live 実証。非 blocker(env を `--clearenv` せず転送 / rw `~/.cargo` の host-persistence / egress allowlist host を `token.base_url` 由来に / bwrap 不在時の fail-soft 無警告)は PR #337 のレビューコメントに詳細。