docs(claude): correct Symantec SEP gotcha — SONAR scans every interpreter launch

The prior note implied --no-sync fixes SEP CPU; it only addresses Auto-Protect
.venv file scanning. SONAR (behavioral) scans every python.exe/powershell.exe
process start regardless of --no-sync (measured 2026-06-16: 222 SONAR events/6h
on interpreter launches). Add agent-discipline mitigations (Bash not PowerShell,
batch gates, no redundant reruns, minimize uv run) and note the durable fix is an
IT/GPO SONAR exclusion for the interpreter paths.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

Author: JohnCCarter

CLAUDE.md

@@ -85,5 +85,13 @@ Avgränsat i [`.rgignore`](.rgignore) (filer kan finnas i git men ska inte grep:
 - Bitfinex/CCXT kräver egress; annars fyll `data/raw/` manuellt
 - `labeling/tool.py` kräver GUI-backend
 - Byt inte namn på kritiska moduler utan policy-uppdatering (§8 i layout-policy)
-- Windows + Symantec (SEP): plain `uv run` bygger om varje gång → SONAR/Auto-Protect skannar
-  `.venv` → hög CPU. Kör `uv run --no-sync` + sätt `PYTHONDONTWRITEBYTECODE=1` (user-scope)
+- Windows + Symantec (SEP) — **två separata triggers**:
+  - **Auto-Protect (fil):** plain `uv run` bygger om `.venv` varje gång → filskanning. Mitigering:
+    `uv run --no-sync` + `PYTHONDONTWRITEBYTECODE=1` (user-scope).
+  - **SONAR (beteende):** skannar **varje start av `python.exe`/`powershell.exe`** — `--no-sync`
+    hjälper INTE här. Mätt 2026-06-16: 222 SONAR-events/6h, alla på interpreter-starter
+    (uv-hanterad CPython störst, sedan projekt-`.venv`, sedan `powershell.exe`). Mitigering
+    (agent-disciplin, GPO blockerar lokala exclusions): **använd Bash inte PowerShell**, **batcha
+    gates i ett anrop** (`ruff && pytest && bounds`), **kör inte om gates i onödan**, minimera
+    `uv run`-anrop, kör inte tester parallellt i två sessioner. Varaktig fix = IT-ärende för
+    central SONAR-exclusion av interpreter-sökvägarna (`%APPDATA%\uv\python\…`, projektets `.venv`).