chore: auto-commit (4 archivos modificados)

- .claude/commands/full-git-pull.md
- .claude/commands/full-git-push.md
- .claude/rules/frontend_theming.md
- go.sum

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

.claude/commands/full-git-push.md

@@ -135,7 +135,37 @@ Reglas:
 
 Si `push` rechaza por non-fast-forward (rama behind), no abortar el resto. Reportar ese repo concreto y sugerir `/full-git-pull` antes; seguir con los demás repos.
 
-### 5. fn sync
+### 5. Push del repo de pass (`~/.password-store`)
+
+El password store es su propio repo Git en Gitea (`dataforge/pass-secrets`). `pass insert/edit/rm` ya commitea automaticamente, por lo que aqui SOLO hay que pushear los commits locales.
+
+```bash
+PASS_DIR="$HOME/.password-store"
+if [ -d "$PASS_DIR/.git" ]; then
+  ( cd "$PASS_DIR" \
+    && DIRTY=$(git status --porcelain | wc -l) \
+    && if [ "$DIRTY" -gt 0 ]; then
+         echo "[warn] $PASS_DIR tiene cambios sin commitear; pass deberia commitear solo. Saltando push."
+       else
+         BRANCH=$(git rev-parse --abbrev-ref HEAD) \
+         && AHEAD=$(git rev-list --count @{u}..HEAD 2>/dev/null) \
+         && if [ "${AHEAD:-0}" -gt 0 ]; then
+              echo "[push] pass-secrets ($BRANCH, $AHEAD commits ahead)"
+              git push origin "$BRANCH" 2>&1 | tail -3
+            else
+              echo "[skip] pass-secrets (up-to-date)"
+            fi
+       fi
+  )
+fi
+```
+
+Reglas:
+- NO hacer `git add` ni `git commit` en `~/.password-store` (pass lo gestiona). Si hay dirty tree, avisar y saltar.
+- NO escanear `*.gpg` por patrones de secrets — son secrets cifrados, su contenido es opaco.
+- El push usa el remote ya configurado (`dataforge/pass-secrets` en Gitea).
+
+### 6. fn sync
 
 ```bash
 USER=$(pass registry/basicauth-user | head -1)
@@ -146,11 +176,11 @@ export REGISTRY_API_TOKEN="$TOKEN"
 ./fn sync
 ```
 
-Si `pass` falla con "decryption failed" → gpg-agent bloqueado. Pedir al usuario que ejecute `pass show registry/api-token` en su terminal real (Bash tool no tiene TTY) y reintentar.
+Si `pass` falla con "decryption failed" → gpg-agent bloqueado. Pedir al usuario que ejecute `pass show unlock` en su terminal real (Bash tool no tiene TTY) y reintentar. Esa entrada es un dummy que solo muestra `Desbloqueada!` para cachear el passphrase sin exponer ninguna API key.
 
-### 6. Resumen
+### 7. Resumen
 
-Tabla concisa: por repo, commits creados (cuántos y subject), commits pusheados, o "ya estaba al día". Y resultado de `fn sync` (sent / received / imported).
+Tabla concisa: por repo, commits creados (cuántos y subject), commits pusheados, o "ya estaba al día". Estado de `pass-secrets` (pushed / skipped / dirty). Y resultado de `fn sync` (sent / received / imported).
 
 ## Notas