diff --git a/STATUS.md b/STATUS.md
index e3cb3ac9..26c28ba9 100644
--- a/STATUS.md
+++ b/STATUS.md
@@ -33,7 +33,40 @@
 | user_activity テーブル追加 | mai 確認必要（DB スキーマ変更） | Digest 週次集計の前提。CLAUDE.md 要確認事項 |
 | Redis 移行（webauthnChallenges） | スケール要件が出てから | 現状インメモリで問題なし |
 
-## 直近でやったこと（2026-04-11）
+## 直近でやったこと（2026-04-11 セッション3）
+
+### セキュリティ修正・コード品質改善（批判的コードレビュー対応）
+- **Together API メンバー検証**: `/together/share` `/together/react` `/together/comments` に `together_members` テーブルでのグループ参加確認を追加。非メンバー投稿を 403 で拒否 → VPS デプロイ済み
+- **manifest.json id 統一**: lens / diff / habit / pulse の `"id"` を `"posimai-xxx"` → `"/posimai-xxx/"` 形式に修正（new-app-guide.md 仕様通り）→ 各アプリデプロイ済み
+- **feed XSS 修正**: `onclick="openInReader('${article.url}', ...)"` の URL 直接埋め込みを `data-url` 属性 + イベント委任に変更 → デプロイ済み
+- **PostgreSQL MCP**: 前セッションで完了（SSH トンネル設定・start-postgres-mcp.sh 作成）。Claude Code 再起動で有効化される
+
+### 残る既知の課題
+- **Together 完全な認証**: member チェックはあるが member-to-member なりすましは防げない（JWT 導入まで）
+- **9アプリ base.css 未移行**: feed/maps/hotels/reader/journal/daily/events/timer/store（カスタムテーマ以外）
+
+## 直近でやったこと（2026-04-11 セッション2）
+
+### posimai-ui 移行バッチ（CSS 重複削除・base.css 統一）
+- **posimai-lens**: 完全移行（768行 → 632行）+ デプロイ済み
+- **posimai-diff**: 完全移行（807行 → 705行）+ デプロイ済み
+- **posimai-clean**: 最小移行（data-app-id + base.css 追加、JWT handoff は既存実装あり）+ デプロイ済み
+- **posimai-think**: 最小移行（data-app-id + base.css + CSP style-src 更新）+ デプロイ済み
+- **posimai-digest**: 完全移行（1602行 → 1113行）+ JWT handoff 追加 + デプロイ済み
+- **posimai-pulse / posimai-habit**: 前セッションで移行・デプロイ済みを確認
+- **posimai-ui/base.css**: サイドバーレイアウトパターン追加済み（前セッション）
+- **_template-minimal / create-app.sh**: 前セッションで最新化済み
+
+### PostgreSQL MCP 設定
+- [docs/postgresql-mcp-setup.md](docs/postgresql-mcp-setup.md): セットアップガイド作成（SSH トンネル・read-only user・セキュリティ要件）
+- [.mcp.json](.mcp.json): MCP 設定テンプレート作成（`.gitignore` に追加済み）
+- **次のアクション**: VPS に `posimai_readonly` ユーザー作成 → パスワードを `.mcp.json` に設定 → SSH トンネル起動
+
+### 移行スキップ（意図的）
+- **brain / atlas / analytics / dev**: カスタムテーマ（navy/violet 等）のため移行しない
+- **clean / think**: CSS が複雑混在のため最小移行のみ（重複 CSS は残存するが機能的に問題なし）
+
+## 直近でやったこと（2026-04-11 セッション1）
 
 - **全アプリ認証統一**: `posimai_token`（JWT）を優先、`pk_` キーをフォールバックに変更（Brief / Daily / Journal / Ambient）
 - **Brief**: API キー手入力欄を廃止 → ログインボタン UI に変更