fix(env): recipient と passphrase 同時指定を拒否 + docs 表現修正

- io_export._encrypt_payload で passphrase ありかつ opts.recipients
  指定時に ExportError を送出。従来は recipients=[] に上書きされて
  cipher.encrypt 側の同時指定チェックを silently バイパスし、ユーザ
  が明示した --recipient が無視されていた (gemini round 6 指摘)。
- docs/user/env-export-import.md L201 の制約説明を修正。round 2 で
  export 側の DEST='-' x --passphrase-stdin 排他チェックを撤廃した
  ため、SOURCE='-' (import) のみ併用不可、export は併用可能であること
  を明記 (codex round 6 指摘)。
- recipient + passphrase 併用拒否の回帰テストを追加。

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

Author: takemi-ohama

docs/user/env-export-import.md

@@ -198,7 +198,7 @@ devbase env export - --force-unencrypted | gpg --encrypt -r alice@example.com >
 gpg --decrypt bundle.gpg | devbase env import -
 ```
 
-> **制約**: `DEST='-'` / `SOURCE='-'` と `--passphrase-stdin` は **併用不可** (stdin/stdout が衝突するため明示的にエラーにします)。
+> **制約**: `SOURCE='-'` と `--passphrase-stdin` は **併用不可** (どちらも stdin を要求するため衝突します。import 側のみエラーになります)。`DEST='-'` (export) は stdin (passphrase) と stdout (bundle) で別ストリームを使うため `--passphrase-stdin` と併用できます。
 
 ## `devbase env export` リファレンス
 

lib/devbase/env/io_export.py

@@ -86,6 +86,13 @@ def _validate_options(opts: ExportOptions) -> None:
 def _encrypt_payload(tar_blob: bytes, opts: ExportOptions) -> bytes:
     """``opts`` の鍵指定に従って tar.gz を暗号化する。鍵が無ければ既定鍵を試す"""
     passphrase = _read_passphrase(opts)
+    if passphrase is not None and opts.recipients:
+        # 明示指定の --recipient と --passphrase-* を黙って捨てると意図と異なる
+        # 暗号化が行われるため、ここで明示的にエラーにする
+        # (cipher.encrypt 側にも同等チェックがあるが、recipients=[] に上書きする前に弾く)
+        raise ExportError(
+            "--recipient と --passphrase-env/--passphrase-stdin は併用できません"
+        )
     recipients = (
         [] if passphrase is not None
         else _io_common.resolve_recipient_specs(opts.recipients)

tests/cli/test_env_export.py

@@ -110,6 +110,25 @@ def test_export_rejects_both_passphrase_env_and_stdin(fake_root):
             dest="/dev/null", passphrase_env="X", passphrase_stdin=True))
 
 
+def test_export_rejects_recipient_and_passphrase_combo(
+    fake_root, age_keys, tmp_path, monkeypatch
+):
+    """--recipient と --passphrase-* を同時指定したら ExportError を上げる。
+    黙って recipients=[] に上書きしてパスフレーズだけで暗号化するのは
+    ユーザの意図と異なるため明示的に拒否する (cipher.encrypt 側のチェックに
+    到達する前にここで弾く)。"""
+    pub_file, _ = age_keys
+    monkeypatch.setenv("DEVBASE_TEST_PASS", "s3cr3t")
+    dest = tmp_path / "out.dbenv"
+    with pytest.raises(ExportError, match="--recipient"):
+        export(fake_root, ExportOptions(
+            dest=str(dest),
+            recipients=[f"@{pub_file}"],
+            passphrase_env="DEVBASE_TEST_PASS",
+        ))
+    assert not dest.exists()
+
+
 def test_read_passphrase_uses_getpass_on_tty(monkeypatch):
     """tty 入力時は getpass.getpass を使い stdin.readline は呼ばない (エコー抑止)"""
     fake_stdin = io.StringIO("should-not-be-read\n")