@fabioforest/openclaw 3.0.0

package/templates/.agent/skills/openclaw-ops/05-openclaw-file-transfer-safe/SKILL.md

@@ -0,0 +1,10 @@
+---
+name: openclaw-file-transfer-safe
+description: Transferência de arquivos via VPN com allowlist de diretórios, hashing, limites e auditoria.
+version: 1.0
+---
+# Checklist
+- allowlist de diretórios
+- SHA-256 antes/depois
+- tamanho máximo
+- auditoria (who/when/host/path/hash)

package/templates/.agent/skills/openclaw-ops/06-openclaw-audit-logging/SKILL.md

@@ -0,0 +1,13 @@
+---
+name: openclaw-audit-logging
+description: Auditoria estruturada (JSON) para VPN/enroll/policy/exec/transfer/update/health. Inclui retenção e redaction de segredos.
+version: 1.0
+---
+# Objetivo
+Logar tudo com request_id e sem vazar segredos.
+
+# Eventos
+- vpn.peer_added/removed
+- host.approved/revoked
+- policy.changed
+- exec.started/finished/denied

package/templates/.agent/skills/openclaw-ops/07-openclaw-safe-update/SKILL.md

@@ -0,0 +1,9 @@
+---
+name: openclaw-safe-update
+description: Atualização segura com verificação (hash/assinatura), canary e rollback automático.
+version: 1.0
+---
+# Checklist
+- canary 1 host
+- healthcheck pós-update
+- rollback se falhar

package/templates/.agent/skills/openclaw-ops/08-openclaw-healthchecks/SKILL.md

@@ -0,0 +1,10 @@
+---
+name: openclaw-healthchecks
+description: Heartbeat via VPN, alertas e autocura com limites; circuit breaker para bloquear exec quando instável.
+version: 1.0
+---
+# Checklist
+- heartbeat 15s
+- detectar queda WG
+- bloquear exec em degraded
+- auto-restart com limites

package/templates/.agent/skills/universal-setup/SKILL.md

@@ -0,0 +1,26 @@
+---
+name: universal-setup
+description: Setup universal e seguro do OpenClaw em VPS, Windows (incl. WSL2), Mac ou Docker. Configura gateway, auth token, canais, persistência e hardening básico.
+version: 1.1
+author: OpenClaw DevOps
+---
+
+# Universal Setup (Wizard)
+Esta skill roda um assistente interativo que:
+- Detecta ambiente (Docker / Linux VPS / Linux local / macOS / Windows)
+- Garante `gateway.bind = 127.0.0.1` e `auth.mode = token`
+- Cria templates de memória (MEMORY.md, SOUL.md) se faltarem
+- Configura canais (Telegram/Discord) com validação básica
+- Sugere hardening em VPS (usuário não-root, firewall, fail2ban)
+- Oferece opção de acesso a arquivos locais com **princípio do menor privilégio**
+  (o usuário escolhe quais pastas o agente pode acessar)
+
+## Como usar
+- `npx openclaw setup`
+ou peça no chat:
+- "rodar setup universal"
+- "configure meu ambiente"
+
+## Segurança
+- Nunca exponha o OpenClaw publicamente.
+- Para acesso remoto, use VPN (WireGuard) e políticas (deny-by-default).

package/templates/.agent/workflows/doctor.md

@@ -0,0 +1,20 @@
+---
+description: Diagnóstico completo do ambiente OpenClaw com verificações de segurança.
+---
+
+## Passos
+
+1. Executar diagnóstico completo
+   ```bash
+   openclaw doctor
+   ```
+
+2. Verificações realizadas:
+   - ✅ `openclaw.json` — bind, token, canais configurados
+   - ✅ Porta 18789 — serviço respondendo
+   - ✅ WireGuard — handshake recente (se VPN ativa)
+   - ✅ `.agent/` — integridade dos templates
+   - ✅ Hook `pre-tool-use` — bloqueio de comandos ativo
+   - ✅ Permissões — arquivos sensíveis com 0600
+
+3. Relatório final com ✅ (ok) ou ❌ (problema) + sugestões de correção

package/templates/.agent/workflows/healthcheck.md

@@ -0,0 +1,22 @@
+---
+description: Verifica saúde do OpenClaw (config, porta local, VPN) e gera relatório.
+---
+
+## Passos
+
+1. Verificar existência e validade de `openclaw.json`
+   - `bind` deve ser `127.0.0.1`
+   - `auth.mode` deve ser `token`
+   - Token deve existir e ter pelo menos 24 caracteres
+
+2. Checar porta 18789 em `127.0.0.1`
+   - Se não estiver em uso, alertar que o serviço pode estar parado
+
+3. Checar WireGuard handshake (se VPN configurada)
+   - `wg show wg0 latest-handshakes`
+   - Alertar se handshake > 5 minutos atrás
+
+4. Verificar integridade dos arquivos `.agent/`
+   - Confirmar que skills, agents e rules existem
+
+5. Emitir relatório ✅/❌ com sugestões de correção

package/templates/.agent/workflows/healthcheck.runbook.md

@@ -0,0 +1,9 @@
+---
+name: healthcheck
+description: Verifica saúde do OpenClaw (config, porta local, VPN) e gera relatório.
+---
+Passos:
+1) Verificar openclaw.json (bind/token)
+2) Checar porta 18789 em 127.0.0.1
+3) Checar WireGuard handshake (se aplicável)
+4) Emitir resumo

package/templates/.agent/workflows/restart.md

@@ -0,0 +1,20 @@
+---
+description: Reinicia serviço do OpenClaw de forma segura, registrando auditoria.
+---
+
+## Passos
+
+1. Detectar ambiente de execução (systemd, Docker, Windows)
+
+2. Registrar evento de restart na auditoria
+   - Incluir `request_id`, timestamp e operador
+
+3. Executar restart conforme ambiente:
+   - **systemd (Linux)**: `systemctl restart openclaw`
+   - **Docker**: `docker compose restart openclaw`
+   - **Windows**: Reiniciar serviço/daemon conforme instalação
+
+4. Aguardar 10s e verificar saúde pós-restart
+   - Rodar `/healthcheck` automaticamente
+
+5. Se healthcheck falhar, alertar operador e NÃO tentar restart adicional

package/templates/.agent/workflows/restart.runbook.md

@@ -0,0 +1,8 @@
+---
+name: restart-openclaw
+description: Reinicia serviço do OpenClaw de forma segura, registrando auditoria.
+---
+Passos:
+- systemd (Linux): systemctl restart openclaw (se existir)
+- Docker: docker compose restart openclaw
+- Windows: reiniciar serviço/daemon conforme instalação

package/templates/.agent/workflows/setup.md

@@ -0,0 +1,18 @@
+---
+description: Roda o wizard interativo de configuração do OpenClaw.
+---
+
+## Passos
+
+1. Executar wizard de setup universal
+   ```bash
+   openclaw setup
+   ```
+
+2. O wizard irá:
+   - Detectar ambiente (Docker / Linux VPS / macOS / Windows / WSL2)
+   - Configurar `openclaw.json` (bind, auth token)
+   - Configurar canais de comunicação (Telegram, Discord, WhatsApp)
+   - Sugerir hardening para VPS
+
+3. Após conclusão, rodar `/healthcheck` para validar a configuração