[aside] Check 0 の「`--bg` より前に `cd` があれば許可」ヒューリスティックは、cd 先が main root でない別 worktree でも素通しする ── backstop の意図的な簡略化で残した false-allow

PR #378 の lint-brief Check 0 は、正しい subshell 形 `( cd "$MAIN_ROOT" && claude --bg … )` を誤って弾かないために「command の `--bg` より前に `cd ` トークンがあれば正規化済みとみなして許可」する(`prefix="${command%%--bg*}"` を grep)。

- 穴: `cd <別 worktree> && claude --bg …` のように **main root でない別の linked worktree に cd** してから打つと、`cd` の存在だけで許可され、child はその別 worktree を hijack しうる。cd 先が本当に main worktree root かは検証していない。
- 意図的な簡略化: 正解形を誤って弾かない(false-reject ゼロ)を優先し、稀な「わざわざ別 worktree に cd して spawn」の false-allow は許容した。主たる防御は skill が canonical に吐く subshell 形で、hook はあくまで backstop。

→ 触らない判断: PR #378 は worktree 内 bare spawn の主 footgun を止めるのが scope。cd 先の厳密検証は backstop の精度上げで別軸。
→ 想定インパクト / トリガー: 別 worktree に明示 cd してから `claude --bg` する稀な操作で hijack がすり抜ける。締めるなら cd 先を解決して `git -C <target> rev-parse --git-dir == --git-common-dir`(= main worktree)か検証する、or child の起動 cwd を実際に評価する。頻度が低いので latent。関連 PR #378。