[aside] sandbox 内 commit は repo の pre-commit hook を走らせるが、hook の依存が未 bind だと無言 skip ── secret-scan の穴になりうる。

→ PR #344 検証中に観測:goose sandbox 内で `git commit` すると `.git/hooks/pre-commit` が走り、`pre-commit: ~/.config/secretlint/.secretlintrc.json missing; skipping secretlint` と出た。`~/.config/secretlint` を bind していないため secretlint が graceful skip。
→ 今回は commit 不能バグの修正が主目的なので hook 依存の bind は別 follow-up。
→ 影響:host では secret を弾く pre-commit が sandbox 内では無効化され、goose の commit が secret を素通しうる(防御の非対称)。方向案 = hook が要る設定 dir(`~/.config/secretlint` 等)を ro-bind、または sandbox 内では `--no-verify` を禁じつつ hook 依存を明示注入。