@fabioforest/openclaw 3.5.0 → 3.7.0

package/README.md

@@ -371,7 +371,7 @@ Verifica conectividade, proxy, versões e integridade do ambiente.
 
 ---
 
-## 🧠 Skills Disponíveis (15)
+## 🧠 Skills Disponíveis (25)
 
 ### Core — Infraestrutura do AI OS
 
@@ -386,6 +386,26 @@ Verifica conectividade, proxy, versões e integridade do ambiente.
 | `smart-router` | Roteador econômico | Para escolher modelo de IA por custo |
 | `context-flush` | Flush de memória | Para economizar tokens em sessões longas |
 
+### Engenharia de Software — Código, Testes e Qualidade
+
+| Skill | O que faz | Quando usar |
+|-------|-----------|-------------|
+| `code-quality` | SOLID, DRY, KISS, Clean Code | Para revisar e melhorar qualidade de código |
+| `legacy-cleanup` | Refatoração segura de legado | Para remover dead code, deps obsoletas |
+| `test-engineer` | Testes unit/integração/E2E | Para criar e melhorar suite de testes |
+| `smoke-tester` | Validação pós-alteração | Para testar automaticamente após qualquer mudança |
+| `security-scanner` | SAST, DAST, OWASP Top 10 | Para auditoria de segurança e vulnerabilidades |
+
+### DevOps, MLOps & Infra
+
+| Skill | O que faz | Quando usar |
+|-------|-----------|-------------|
+| `devops-toolkit` | Docker, CI/CD, K8s, Terraform | Para automação de infra e deploy |
+| `mlops-pipeline` | Treinamento, serving, RAG, drift | Para pipelines de ML em produção |
+| `vps-cloud-infra` | 9 provedores VPS/Cloud, hardening | Para provisionar e gerenciar servidores |
+| `vpn-networking` | 7 soluções VPN, troubleshooting | Para redes privadas seguras |
+| `ai-provider-setup` | 10+ provedores de IA, API keys | Para adicionar novos modelos/provedores |
+
 ### Produtividade — Automação e Web
 
 | Skill | O que faz | Quando usar |
@@ -396,7 +416,7 @@ Verifica conectividade, proxy, versões e integridade do ambiente.
 | `web-scraper` | Scraping responsável | Para extrair dados de sites |
 | `content-sourcer` | Pesquisa de fontes | Para criar dossiês citáveis |
 
-### Operacionais — DevOps e Infra
+### Operacionais — Setup e Debug
 
 | Skill | O que faz | Quando usar |
 |-------|-----------|-------------|

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@fabioforest/openclaw",
-  "version": "3.5.0",
+  "version": "3.7.0",
   "description": "Agentes autônomos para engenharia de software",
   "publishConfig": {
     "access": "public"

package/templates/.agent/skills/ai-provider-setup/SKILL.md

@@ -0,0 +1,244 @@
+---
+name: ai-provider-setup
+description: Guia passo a passo para adicionar e configurar provedores de IA (Gemini, OpenAI, Claude, Groq, Mistral, Ollama, etc.) com obtenção de API keys, configuração e teste.
+triggers:
+  - adicionar ia
+  - novo modelo
+  - api key
+  - token ia
+  - configurar modelo
+  - gemini
+  - openai
+  - claude
+  - groq
+  - mistral
+  - ollama
+  - huggingface
+  - cohere
+  - deepseek
+  - qwen
+  - provedor
+  - provider
+---
+
+# AI Provider Setup
+
+## Objetivo
+Guiar o usuário passo a passo para adicionar novos provedores e modelos de IA, incluindo obtenção de API keys, configuração no projeto e validação de funcionamento.
+
+## Provedores Suportados — Guia Completo
+
+### 🟢 Google Gemini (Recomendado — Free Tier Generoso)
+
+**Modelos disponíveis:** Gemini 2.5 Pro, Gemini 2.5 Flash, Gemini 2.5 Flash-Lite
+
+**Como obter a API Key:**
+1. Acesse [Google AI Studio](https://aistudio.google.com/apikey)
+2. Faça login com sua conta Google
+3. Clique em "Create API Key"
+4. Selecione o projeto GCP (ou crie um novo)
+5. Copie a chave gerada
+
+**Limites do Free Tier:**
+- Gemini Flash: 15 RPM, 1.500 RPD, 1M TPM
+- Gemini Pro: 5 RPM, 25 RPD, 1M TPM
+- **Atenção**: dados do free tier podem ser usados para treinamento. Para opt-out, use o plano pago
+
+**Configuração:**
+```json
+{
+  "env": { "vars": { "GOOGLE_API_KEY": "AIza..." } },
+  "agents": {
+    "defaults": {
+      "model": { "primary": "gemini/gemini-2.5-flash" }
+    }
+  }
+}
+```
+
+---
+
+### 🟡 OpenAI (GPT-5, GPT-5 mini, Codex)
+
+**Modelos disponíveis:** GPT-5.2, GPT-5.1-codex, GPT-5 mini, o3, o4-mini
+
+**Como obter a API Key:**
+1. Acesse [OpenAI Platform](https://platform.openai.com/api-keys)
+2. Faça login ou crie conta
+3. Clique em "Create new secret key"
+4. Dê um nome descritivo (ex: "openclaw-vps")
+5. Copie a chave (só aparece 1 vez!)
+
+**Importante:** Requer cartão de crédito para uso (PAYG — Pay As You Go)
+
+**Configuração:**
+```json
+{
+  "env": { "vars": { "OPENAI_API_KEY": "sk-proj-..." } },
+  "agents": {
+    "defaults": {
+      "model": { "primary": "openai/gpt-5.2" }
+    }
+  }
+}
+```
+
+---
+
+### 🟣 Anthropic Claude (Claude Opus 4.5, Sonnet 4)
+
+**Modelos disponíveis:** Claude Opus 4.5, Claude Sonnet 4, Claude Haiku
+
+**Como obter a API Key:**
+1. Acesse [Anthropic Console](https://console.anthropic.com/settings/keys)
+2. Crie uma conta (email + verificação)
+3. Adicione créditos (mínimo US$ 5)
+4. Clique em "Create Key"
+5. Copie a chave
+
+**Configuração:**
+```json
+{
+  "env": { "vars": { "ANTHROPIC_API_KEY": "sk-ant-..." } },
+  "agents": {
+    "defaults": {
+      "model": { "primary": "anthropic/claude-sonnet-4" }
+    }
+  }
+}
+```
+
+---
+
+### 🟠 Groq (Free, Ultra-Rápido)
+
+**Modelos disponíveis:** Llama 3.3 70B, Mixtral 8x7B, Gemma 2 9B
+
+**Como obter a API Key:**
+1. Acesse [GroqCloud Console](https://console.groq.com/keys)
+2. Faça login com Google ou GitHub
+3. Clique em "Create API Key"
+4. Copie a chave
+
+**Limites do Free Tier (sem cartão):**
+- 30 RPM, 14.400 RPD, 6.000 TPM (varia por modelo)
+- Sem armazenamento de dados (política de privacidade forte)
+
+**Configuração:**
+```json
+{
+  "env": { "vars": { "GROQ_API_KEY": "gsk_..." } },
+  "agents": {
+    "defaults": {
+      "model": { "primary": "groq/llama-3.3-70b-versatile" }
+    }
+  }
+}
+```
+
+---
+
+### 🔵 Mistral AI
+
+**Modelos disponíveis:** Mistral Large, Mistral Medium, Codestral, Pixtral
+
+**Como obter a API Key:**
+1. Acesse [Mistral Console](https://console.mistral.ai/api-keys)
+2. Crie conta (requer verificação por telefone no plano free)
+3. Clique em "Create new key"
+4. Copie a chave
+
+**Free Tier (Experiment):** Limites conservadores, dados podem ser usados para treinamento (opt-out disponível)
+
+**Configuração:**
+```json
+{
+  "env": { "vars": { "MISTRAL_API_KEY": "..." } },
+  "agents": {
+    "defaults": {
+      "model": { "primary": "mistral/mistral-large-latest" }
+    }
+  }
+}
+```
+
+---
+
+### 🟤 Ollama (Local, Gratuito, Privado)
+
+**Modelos disponíveis:** Qwen 2.5 Coder, Llama 3.3, DeepSeek Coder V2, Phi-3, Mistral, Gemma
+
+**Como instalar:**
+```bash
+# macOS / Linux
+curl -fsSL https://ollama.com/install.sh | sh
+
+# Baixar modelo
+ollama pull qwen2.5-coder:7b
+
+# Verificar se está rodando
+ollama list
+curl http://localhost:11434/api/tags
+```
+
+**Vantagens:** 100% local, sem custos, total privacidade, sem rate limits
+**Desvantagens:** Requer GPU/RAM, modelos menores que APIs cloud
+
+**Configuração (com OpenClaw):**
+```json
+{
+  "agents": {
+    "defaults": {
+      "model": { "primary": "ollama/qwen2.5-coder:7b" }
+    }
+  }
+}
+```
+
+---
+
+### 🟢 Cohere
+
+**Como obter:** [Cohere Dashboard](https://dashboard.cohere.com/api-keys) → Trial: 1.000 calls/mês
+
+### 🔵 DeepSeek
+
+**Como obter:** [DeepSeek Platform](https://platform.deepseek.com/api_keys) → Créditos iniciais gratuitos
+
+### 🟡 HuggingFace Inference
+
+**Como obter:** [HuggingFace Settings](https://huggingface.co/settings/tokens) → Free tier com créditos
+
+### 🟠 OpenRouter (Multi-provedor)
+
+**Como obter:** [OpenRouter Keys](https://openrouter.ai/keys) → 50 req/dia free, acesso a 100+ modelos
+
+---
+
+## Fluxo de adição de novo provedor
+
+1. **Escolher provedor** com base em: custo, qualidade, privacidade, velocidade
+2. **Obter API Key** seguindo o passo a passo acima
+3. **Configurar** no `openclaw.json` (env.vars + agents.defaults.model)
+4. **Testar** com um request simples (smoke-tester)
+5. **Definir fallbacks** (chain de modelos por perfil)
+6. **Documentar** custos estimados e limites
+
+## Comparativo rápido
+
+| Provedor | Free | Privacidade | Velocidade | Qualidade | Melhor para |
+|---------|------|------------|-----------|----------|------------|
+| Gemini | ✅ Generoso | ⚠️ Treina (free) | ⚡ Rápido | ⭐⭐⭐⭐ | Uso geral, coding |
+| Groq | ✅ Sem cartão | ✅ Não armazena | ⚡⚡⚡ Ultra | ⭐⭐⭐ | Volume alto, rascunhos |
+| Ollama | ✅ Totalmente | ✅ 100% local | ⚡ (com GPU) | ⭐⭐⭐ | Privacidade total |
+| OpenAI | ❌ Pago | ✅ Não treina | ⚡⚡ Rápido | ⭐⭐⭐⭐⭐ | Máxima qualidade |
+| Claude | ❌ Pago | ✅ 30 dias | ⚡⚡ Rápido | ⭐⭐⭐⭐⭐ | Raciocínio, ética |
+| Mistral | ⚠️ Limitado | ⚠️ Opt-out | ⚡⚡ Rápido | ⭐⭐⭐⭐ | Coding, EU compliance |
+| OpenRouter | ⚠️ 50/dia | ✅ Não armazena | Varia | Varia | Multi-modelo |
+
+## Regras de segurança
+- ✅ Armazenar API keys em variáveis de ambiente ou secret manager
+- ✅ Testar com request simples antes de usar em produção
+- ✅ Documentar custos e limites de cada provedor
+- ❌ Nunca commitar API keys no Git
+- ❌ Nunca logar API keys em texto puro nos audit logs

package/templates/.agent/skills/code-quality/SKILL.md

@@ -0,0 +1,93 @@
+---
+name: code-quality
+description: Aplica boas práticas de código (SOLID, DRY, KISS, Clean Code). Analisa estilo, naming, estrutura, documentação e propõe melhorias.
+triggers:
+  - boas práticas
+  - code review
+  - clean code
+  - solid
+  - dry
+  - kiss
+  - qualidade de código
+  - code quality
+  - lint
+  - estilo
+  - naming
+  - convenção
+  - padrão de código
+  - documentação
+---
+
+# Code Quality
+
+## Objetivo
+Garantir que o código siga boas práticas reconhecidas (SOLID, DRY, KISS, Clean Code), com foco em legibilidade, manutenibilidade e consistência.
+
+## Contexto necessário
+- Linguagem/framework do projeto
+- Guia de estilo existente (se houver)
+- Foco: revisão geral ou área específica
+
+## Fluxo (inspect → plan → consent → apply → audit)
+
+1. **INSPECT** (read-only):
+   - Verificar configuração de linter/formatter existente
+   - Analisar convenções de naming (camelCase, snake_case, PascalCase)
+   - Detectar violações de SOLID:
+     - **S**ingle Responsibility: classes/funções com mais de 1 responsabilidade
+     - **O**pen/Closed: código que exige modificação para extensão
+     - **L**iskov Substitution: subclasses que quebram contratos
+     - **I**nterface Segregation: interfaces muito grandes
+     - **D**ependency Inversion: dependências concretas no lugar de abstrações
+   - Detectar violações de DRY (duplicações)
+   - Verificar documentação (JSDoc, docstrings, README)
+   - Medir tamanho de funções/classes (threshold: 200 linhas/arquivo, 30 linhas/função)
+
+2. **PLAN** — Propor melhorias categorizadas:
+
+   | Categoria | Exemplo |
+   |-----------|---------|
+   | 📝 Naming | `data` → `userProfiles`, `fn` → `calculateDiscount` |
+   | 📦 Estrutura | Extrair classe com 500 linhas em 3 módulos |
+   | 📖 Documentação | Adicionar JSDoc em funções públicas |
+   | 🔧 Linting | Configurar ESLint/Prettier/Ruff/Black |
+   | 🧪 Testabilidade | Injetar dependências para facilitar mocks |
+
+3. **CONSENT**: Confirmar antes de aplicar
+4. **APPLY**: Gerar patches unificados para cada melhoria
+5. **AUDIT**: Registrar métricas antes/depois
+
+## Checklists por cenário
+
+### Criando código novo
+- [ ] Nomes descritivos (sem abreviações crípticas)
+- [ ] Funções com no máximo 30 linhas e 1 responsabilidade
+- [ ] Arquivos com no máximo 200-300 linhas
+- [ ] Sem dados simulados fora de testes
+- [ ] Comentários explicam "por quê", não "o quê"
+- [ ] Tratamento de erros com mensagens úteis
+- [ ] Tipos/interfaces/schemas definidos
+
+### Revisando código existente
+- [ ] Sem variáveis não utilizadas
+- [ ] Sem imports não utilizados
+- [ ] Sem TODO/FIXME sem prazo
+- [ ] Sem console.log/print de debug em produção
+- [ ] Sem credenciais hardcoded
+- [ ] Sem números mágicos (extrair constantes)
+- [ ] Sem funções com mais de 3 níveis de aninhamento
+
+## Ferramentas recomendadas
+
+| Categoria | JavaScript/TS | Python | Go |
+|-----------|--------------|--------|-----|
+| Linter | ESLint | Ruff, Pylint | golangci-lint |
+| Formatter | Prettier | Black, Ruff format | gofmt |
+| Type check | TypeScript | mypy, pyright | built-in |
+| Docs | JSDoc, TypeDoc | Sphinx, mkdocs | godoc |
+| Complexidade | ESLint complexity | radon | gocyclo |
+
+## Regras de segurança
+- ✅ Nunca alterar lógica de negócio durante refatoração de estilo
+- ✅ Commits separados: formatação vs refatoração vs lógica
+- ❌ Nunca introduzir um novo padrão sem remover o antigo

package/templates/.agent/skills/devops-toolkit/SKILL.md

@@ -0,0 +1,110 @@
+---
+name: devops-toolkit
+description: Automação de infraestrutura, CI/CD, containerização, monitoramento e deploy. Suporte a Docker, GitHub Actions, Terraform, Ansible e Kubernetes.
+triggers:
+  - devops
+  - ci/cd
+  - pipeline
+  - deploy
+  - docker
+  - dockerfile
+  - docker-compose
+  - kubernetes
+  - k8s
+  - terraform
+  - ansible
+  - github actions
+  - gitlab ci
+  - infraestrutura
+  - infra
+  - monitoramento
+  - observabilidade
+  - nginx
+  - proxy reverso
+  - ssl
+  - https
+---
+
+# DevOps Toolkit
+
+## Objetivo
+Automatizar infraestrutura, CI/CD, containerização, monitoramento e deploy seguindo boas práticas de Infrastructure as Code (IaC) e GitOps.
+
+## Contexto necessário
+- Provedor de cloud (AWS, GCP, Azure, VPS, local)
+- Ferramenta de CI/CD em uso (GitHub Actions, GitLab CI, Jenkins)
+- Stack do projeto (linguagem, framework, banco de dados)
+- Ambiente alvo (dev, staging, prod)
+
+## Fluxo (inspect → plan → consent → apply → verify → audit)
+
+1. **INSPECT**: Analisar infra existente (Dockerfile, compose, CI configs, deploy scripts)
+2. **PLAN**: Propor melhorias com diagrama de arquitetura
+3. **CONSENT**: Confirmar antes de qualquer alteração em infra
+4. **APPLY**: Gerar/modificar configs
+5. **VERIFY**: Testar build, healthcheck, deploy em staging
+6. **AUDIT**: Registrar mudanças de infra
+
+## Capacidades
+
+### 🐳 Containerização
+- Criar/otimizar Dockerfiles (multi-stage builds, cache layers)
+- Docker Compose para desenvolvimento local
+- Boas práticas: non-root user, .dockerignore, health checks
+- Reduzir tamanho de imagem (Alpine, distroless, slim)
+
+### 🔄 CI/CD Pipelines
+- GitHub Actions (workflows, matrix, caching, secrets)
+- GitLab CI (stages, artifacts, environments)
+- Estratégias: lint → test → build → deploy
+- Cache de dependências para acelerar builds
+- Deploy com rollback automático
+
+### ☁️ Infrastructure as Code
+- Terraform: providers, modules, state management
+- Ansible: playbooks, roles, inventários
+- Kubernetes: manifests, Helm charts, kustomize
+
+### 📊 Monitoramento e Observabilidade
+- Healthchecks e readiness probes
+- Logging estruturado (JSON, correlação de requests)
+- Métricas (Prometheus, Grafana, Datadog)
+- Alertas baseados em SLOs/SLIs
+
+### 🔒 Segurança de Infra
+- Scan de vulnerabilidades em imagens Docker (Trivy, Snyk)
+- Secrets management (Vault, SOPS, GitHub Secrets)
+- Network policies e firewall rules
+- TLS/SSL com renovação automática (Let's Encrypt, Certbot)
+
+## Checklists
+
+### Dockerfile
+- [ ] Multi-stage build (builder + runner)
+- [ ] Usuário non-root
+- [ ] .dockerignore configurado
+- [ ] HEALTHCHECK definido
+- [ ] Apenas dependências de produção na imagem final
+- [ ] Layers ordenadas por frequência de mudança (cache)
+
+### CI/CD Pipeline
+- [ ] Lint e testes rodam em cada PR
+- [ ] Build e push de imagem em merge na main
+- [ ] Deploy automático em staging, manual em prod
+- [ ] Cache de dependências configurado
+- [ ] Secrets não expostos em logs
+- [ ] Rollback automático se healthcheck falhar
+
+### Deploy em Produção
+- [ ] Blue-green ou canary deployment
+- [ ] Database migrations antes do deploy
+- [ ] Backup antes de mudanças destrutivas
+- [ ] Monitoramento ativo pós-deploy (5-15 min)
+- [ ] Runbook de rollback documentado
+
+## Regras de segurança
+- ✅ Nunca commitar secrets no repositório
+- ✅ Testar em staging antes de prod
+- ✅ Infraestrutura versionada no Git (IaC)
+- ❌ Nunca fazer deploy direto em prod sem pipeline
+- ❌ Nunca rodar containers como root em produção

package/templates/.agent/skills/legacy-cleanup/SKILL.md

@@ -0,0 +1,67 @@
+---
+name: legacy-cleanup
+description: Analisa e refatora código legado de forma segura. Identifica dead code, dependências obsoletas, padrões deprecados e propõe modernização incremental.
+triggers:
+  - código legado
+  - legacy
+  - refatorar
+  - dead code
+  - código morto
+  - deprecado
+  - obsoleto
+  - modernizar
+  - dívida técnica
+  - technical debt
+  - cleanup
+  - limpar código
+---
+
+# Legacy Cleanup
+
+## Objetivo
+Identificar e remover código legado, dead code, dependências obsoletas e padrões deprecados de forma **segura e incremental**, sem quebrar funcionalidades existentes.
+
+## Contexto necessário
+- Linguagem/framework do projeto
+- Se há testes automatizados (cobertura atual)
+- Áreas prioritárias (ou análise completa)
+- Tolerância a risco (conservador vs agressivo)
+
+## Fluxo (inspect → plan → consent → apply → verify → audit)
+
+1. **INSPECT** (read-only):
+   - Identificar dead code (funções/classes/módulos não referenciados)
+   - Listar dependências sem uso no `package.json` / `requirements.txt` / `Gemfile`
+   - Detectar padrões deprecados (callbacks → promises, var → const/let, etc.)
+   - Mapear duplicações (DRY violations)
+   - Verificar TODOs/FIXMEs/HACKs antigos
+   - Medir complexidade ciclomática por arquivo
+
+2. **PLAN** — Propor ações categorizadas por risco:
+
+   | Risco | Ação | Exemplo |
+   |-------|------|---------|
+   | 🟢 Baixo | Remover imports não usados | `import * as _ from 'lodash'` sem uso |
+   | 🟡 Médio | Remover funções sem referência | Função helper nunca chamada |
+   | 🔴 Alto | Substituir padrão arquitetural | Migrar callbacks → async/await |
+
+3. **CONSENT**: Confirmar cada categoria de risco separadamente
+4. **APPLY**: Executar refatorações + rodar testes após cada batch
+5. **VERIFY**: Confirmar que testes passam e build funciona
+6. **AUDIT**: Registrar métricas antes/depois (linhas, complexidade, dependências)
+
+## Ferramentas recomendadas por linguagem
+
+| Linguagem | Dead code | Deps não usadas | Complexidade |
+|-----------|-----------|-----------------|-------------|
+| JavaScript/TS | `ts-prune`, ESLint `no-unused-vars` | `depcheck` | `plato`, ESLint |
+| Python | `vulture`, `pylint` | `pip-autoremove` | `radon`, `flake8` |
+| Go | `deadcode`, `staticcheck` | `go mod tidy` | `gocyclo` |
+| Java | IntelliJ inspections, `spotbugs` | Maven dependency plugin | `PMD` |
+
+## Regras de segurança
+- ✅ Sempre rodar testes antes E depois de cada refatoração
+- ✅ Commits atômicos (1 refatoração = 1 commit)
+- ✅ Nunca remover código que tenha referência dinâmica sem confirmar
+- ❌ Nunca refatorar sem testes que cubram a área alterada
+- ❌ Nunca misturar refatoração com mudança de lógica de negócio

package/templates/.agent/skills/mlops-pipeline/SKILL.md

@@ -0,0 +1,113 @@
+---
+name: mlops-pipeline
+description: Boas práticas de MLOps — treinamento, versionamento de modelos, deploy de ML, monitoramento de drift, pipelines de dados e feature stores.
+triggers:
+  - mlops
+  - machine learning
+  - modelo
+  - treinamento
+  - training
+  - deploy de modelo
+  - model serving
+  - feature store
+  - data pipeline
+  - drift
+  - experiment tracking
+  - mlflow
+  - wandb
+  - kubeflow
+  - bentoml
+  - rag
+  - fine-tuning
+  - embeddings
+  - vetor
+  - vector database
+---
+
+# MLOps Pipeline
+
+## Objetivo
+Implementar e gerenciar pipelines de Machine Learning em produção, cobrindo todo o ciclo: dados → treinamento → avaliação → deploy → monitoramento → retraining.
+
+## Contexto necessário
+- Tipo de modelo (classificação, NLP, visão, LLM, recomendação)
+- Framework (PyTorch, TensorFlow, scikit-learn, HuggingFace)
+- Infraestrutura (local, cloud, GPU)
+- Estágio atual (exploração, staging, produção)
+
+## Fluxo (inspect → plan → consent → apply → verify → audit)
+
+1. **INSPECT**: Analisar pipeline existente, dados, modelos e infra
+2. **PLAN**: Propor arquitetura MLOps com componentes necessários
+3. **CONSENT**: Confirmar custos de compute e storage
+4. **APPLY**: Implementar/modificar pipeline
+5. **VERIFY**: Validar métricas, latência, throughput
+6. **AUDIT**: Registrar experimentos, versões e decisões
+
+## Capacidades
+
+### 📊 Experiment Tracking
+- MLflow: experiments, runs, parâmetros, métricas, artefatos
+- Weights & Biases (W&B): tracking, sweeps, reports
+- Comparação entre runs e reprodutibilidade
+
+### 📦 Versionamento de Modelos e Dados
+- DVC: versionamento de datasets grandes
+- MLflow Model Registry: staging → production
+- Git LFS para artefatos pesados
+- Hashes de datasets para reprodutibilidade
+
+### 🔄 Pipelines de Treinamento
+- Orquestração: Airflow, Prefect, Kubeflow Pipelines
+- Feature engineering automatizado
+- Validação de dados (Great Expectations, Pandera)
+- Hyperparameter tuning (Optuna, Ray Tune)
+
+### 🚀 Model Serving
+- APIs REST/gRPC: FastAPI + ONNX, TorchServe, TF Serving
+- BentoML: empacotamento e deploy de modelos
+- Serverless: AWS Lambda + SageMaker, GCP Cloud Functions
+- Edge: ONNX Runtime, TensorFlow Lite
+
+### 🔍 Monitoramento em Produção
+- Data drift detection (Evidently, NannyML)
+- Model performance monitoring (accuracy decay)
+- Latência e throughput (P50, P95, P99)
+- Alertas para retraining automático
+
+### 🧠 LLM Ops (RAG, Fine-tuning, Agents)
+- RAG pipelines: embeddings → vector DB → retrieval → generation
+- Vector databases: Qdrant, ChromaDB, Pinecone, Weaviate
+- Fine-tuning: LoRA, QLoRA, em GPUs de consumo
+- Avaliação de LLMs: BLEU, ROUGE, human eval, LLM-as-judge
+- Guardrails: content filtering, prompt injection detection
+
+## Checklists
+
+### Antes de treinar
+- [ ] Dados validados (schema, distribuição, missing values)
+- [ ] Split reprodutível (train/val/test com seed fixa)
+- [ ] Baseline definido (modelo simples para comparação)
+- [ ] Métricas de avaliação escolhidas e documentadas
+- [ ] Experiment tracking configurado
+
+### Antes de deploy
+- [ ] Modelo versionado com metadados (hash, métricas, dataset)
+- [ ] Testes de integração (input → output esperado)
+- [ ] Benchmark de latência e throughput
+- [ ] Fallback definido (modelo anterior ou regra heurística)
+- [ ] Monitoramento de drift configurado
+
+### Em produção
+- [ ] Alertas para degradação de performance
+- [ ] Pipeline de retraining automatizado ou semi-automático
+- [ ] A/B testing ou shadow mode para novos modelos
+- [ ] Logs de predições para auditoria e debugging
+- [ ] Custo de compute monitorado
+
+## Regras de segurança
+- ✅ Dados sensíveis devem ser anonimizados/mascarados antes de treinar
+- ✅ Modelos devem ser escaneados para bias antes de deploy
+- ✅ API keys de provedores de LLM devem usar secret management
+- ❌ Nunca expor endpoints de model serving sem autenticação
+- ❌ Nunca treinar com dados de produção sem aprovação de compliance