@fabioforest/openclaw 3.5.0 → 3.7.0

package/templates/.agent/skills/security-scanner/SKILL.md

@@ -0,0 +1,121 @@
+---
+name: security-scanner
+description: Análise de segurança de código e infraestrutura — SAST, DAST, dependency audit, secrets scanning, OWASP Top 10 e hardening.
+triggers:
+  - segurança
+  - security
+  - vulnerabilidade
+  - cve
+  - owasp
+  - pentest
+  - scan
+  - auditoria de segurança
+  - secrets
+  - injection
+  - xss
+  - csrf
+  - sql injection
+  - hardening
+  - sast
+  - dast
+  - dependências vulneráveis
+---
+
+# Security Scanner
+
+## Objetivo
+Identificar vulnerabilidades de segurança no código, dependências e infraestrutura, seguindo OWASP Top 10 e boas práticas de AppSec.
+
+## Contexto necessário
+- Linguagem/framework do projeto
+- Tipo de aplicação (web, API, mobile, CLI)
+- Ambiente (dev, staging, prod)
+- Requisitos de compliance (SOC2, LGPD, PCI-DSS, HIPAA)
+
+## Fluxo (inspect → plan → consent → apply → verify → audit)
+
+1. **INSPECT** (read-only):
+   - Scan de dependências (CVEs conhecidos)
+   - Busca de secrets no código (API keys, senhas, tokens)
+   - Análise estática (SAST): injection, XSS, CSRF
+   - Verificação de configuração (CORS, headers, CSP)
+   - Análise de Dockerfile/compose (imagem base, root, ports)
+
+2. **PLAN** — Relatório de vulnerabilidades por severidade:
+
+   | Severidade | Exemplo | Ação |
+   |-----------|---------|------|
+   | 🔴 Crítica | SQL injection, secret exposto | Fix imediato |
+   | 🟠 Alta | Dependência com CVE alto | Update urgente |
+   | 🟡 Média | CORS permissivo, headers faltando | Planejar fix |
+   | 🟢 Baixa | Versão desatualizada sem CVE | Monitorar |
+
+3. **CONSENT**: Confirmar correções propostas
+4. **APPLY**: Aplicar fixes + atualizar dependências
+5. **VERIFY**: Re-scan para confirmar correção
+6. **AUDIT**: Relatório de segurança antes/depois
+
+## Capacidades
+
+### 🔍 SAST (Static Application Security Testing)
+- Análise de código sem executar
+- Detecção de injection (SQL, NoSQL, command, LDAP)
+- Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF)
+- Insecure deserialization
+- Path traversal e file inclusion
+
+### 📦 Dependency Audit
+- `npm audit` / `yarn audit` (JavaScript)
+- `pip-audit` / `safety` (Python)
+- `cargo audit` (Rust)
+- `go vuln check` (Go)
+- Snyk, Dependabot, Renovate para automação
+
+### 🔑 Secrets Scanning
+- Busca de: API keys, passwords, tokens, private keys, connection strings
+- Ferramentas: gitleaks, truffleHog, detect-secrets
+- Verificação em histórico do Git (commits antigos)
+- Pre-commit hooks para prevenir novos leaks
+
+### 🌐 DAST (Dynamic Application Security Testing)
+- Scan de endpoint em runtime
+- Ferramentas: OWASP ZAP, Nuclei, Burp Suite
+- Verificação de headers de segurança (CSP, HSTS, X-Frame-Options)
+- Teste de rate limiting e brute force
+
+### 🏗️ Infrastructure Security
+- Scan de imagens Docker (Trivy, Grype)
+- Verificação de configuração cloud (Checkov, ScoutSuite)
+- Network security (ports expostas, firewall rules)
+- TLS/SSL assessment (testssl.sh, SSL Labs)
+
+## OWASP Top 10 — Checklist
+
+- [ ] **A01 Broken Access Control**: Verificar RBAC, IDOR, path traversal
+- [ ] **A02 Cryptographic Failures**: TLS, hashing de senhas (bcrypt/argon2), encryption at rest
+- [ ] **A03 Injection**: SQL, NoSQL, OS command, LDAP, XSS
+- [ ] **A04 Insecure Design**: Threat modeling, abuse cases
+- [ ] **A05 Security Misconfiguration**: Default configs, debug mode em prod, headers
+- [ ] **A06 Vulnerable Components**: Dependencies com CVEs, EOL libraries
+- [ ] **A07 Authentication Failures**: MFA, session management, brute force protection
+- [ ] **A08 Data Integrity Failures**: CI/CD security, deserialization, updates sem verificação
+- [ ] **A09 Logging Failures**: Logs sem dados sensíveis, monitoramento de atividade suspeita
+- [ ] **A10 SSRF**: Validação de URLs, allowlists de destinos
+
+## Ferramentas recomendadas
+
+| Categoria | Ferramenta | Linguagem |
+|-----------|-----------|-----------|
+| SAST | Semgrep, CodeQL, SonarQube | Multi-linguagem |
+| Deps | npm audit, pip-audit, Snyk | JS, Python, multi |
+| Secrets | gitleaks, truffleHog | Qualquer |
+| DAST | OWASP ZAP, Nuclei | Web apps |
+| Docker | Trivy, Grype | Containers |
+| Infra | Checkov, tfsec | Terraform, Cloud |
+
+## Regras de segurança
+- ✅ Scan de segurança deve rodar no CI/CD em cada PR
+- ✅ Vulnerabilidades críticas bloqueiam merge
+- ✅ Secrets encontrados devem ser revogados IMEDIATAMENTE
+- ❌ Nunca ignorar CVEs críticos sem justificativa documentada
+- ❌ Nunca publicar relatório de segurança detalhado em canal público

package/templates/.agent/skills/smoke-tester/SKILL.md

@@ -0,0 +1,160 @@
+---
+name: smoke-tester
+description: Validação automática pós-alteração. Testa se mudanças funcionam como esperado usando testes automatizados, browser testing (quando disponível) ou verificações programáticas.
+triggers:
+  - testar alteração
+  - verificar se funciona
+  - smoke test
+  - validar
+  - testar se funciona
+  - funciona?
+  - está funcionando
+  - conferir
+  - healthcheck pós-deploy
+  - verificação
+  - pós-alteração
+---
+
+# Smoke Tester (Validação Pós-Alteração)
+
+## Objetivo
+Após **qualquer alteração** no projeto (novo agente, config, deploy, código), executar automaticamente uma bateria de testes para confirmar que tudo funciona como esperado.
+
+> **Princípio**: Nenhuma alteração é considerada completa sem validação. O agente DEVE testar após aplicar.
+
+## Contexto necessário
+- O que foi alterado (config, código, agente, infra)
+- Ambiente (local, Docker, VPS, IDE)
+- Ferramentas disponíveis (browser tool, terminal, API)
+
+## Fluxo automático pós-alteração
+
+```
+ALTERAÇÃO → DETECTAR TIPO → ESCOLHER TESTE → EXECUTAR → REPORTAR
+```
+
+### 1. Detectar tipo de alteração
+
+| Tipo | Exemplos | Teste adequado |
+|------|----------|---------------|
+| Config de agente | Novo agente, modelo, fallback | Health ping + resposta de teste |
+| Config de gateway | Porta, bind, auth, CORS | Curl/HTTP request + status check |
+| Config de canal | Telegram, Discord, Slack | Enviar mensagem de teste + verificar status |
+| Código (backend) | API, lógica, módulo | Unit tests + integration tests |
+| Código (frontend) | UI, componente, página | Browser testing (screenshot + assertions) |
+| Infraestrutura | Docker, VPN, firewall | Connectivity check + healthcheck |
+| Dependências | npm install, pip install | Build + test suite |
+
+### 2. Métodos de teste por ambiente
+
+#### Terminal/CLI (sempre disponível)
+```bash
+# Verificar se processo está rodando
+docker ps | grep <container>
+systemctl status <service>
+
+# Testar endpoint HTTP
+curl -s -o /dev/null -w "%{http_code}" http://localhost:PORT/health
+
+# Verificar conectividade
+ping -c 1 <host>
+ssh -o ConnectTimeout=5 <host> echo "OK"
+
+# Rodar suite de testes
+npm test
+pytest
+go test ./...
+```
+
+#### Browser Testing (Antigravity, Cursor com browser tool)
+Quando o agente tem acesso ao browser tool:
+```
+1. Abrir URL alvo no navegador
+2. Verificar se a página carrega (screenshot)
+3. Verificar elementos esperados na DOM
+4. Clicar em elementos interativos
+5. Verificar console do navegador (sem erros)
+6. Capturar screenshot final como prova
+```
+
+**Cenários de browser testing:**
+- Dashboard do OpenClaw: verificar se carrega, dropdown de agentes presente
+- Site/App: verificar homepage, navegação, formulários
+- Página de login: testar fluxo completo
+- API docs: verificar se Swagger/OpenAPI renderiza
+
+#### API Testing (programático)
+```bash
+# Testar agente do OpenClaw
+curl -X POST http://localhost:18789/api/chat \
+  -H "Authorization: Bearer <token>" \
+  -d '{"message": "ping"}' \
+  | jq '.response'
+
+# Verificar status de agentes
+curl http://localhost:18789/api/status --json | jq '.agents'
+```
+
+### 3. Checklists por tipo de alteração
+
+#### Novo Agente Adicionado
+- [ ] Config válida no `openclaw.json` (id, model, workspace)
+- [ ] Reiniciar gateway/container
+- [ ] Verificar que o agente aparece no status (`/api/status`)
+- [ ] Enviar mensagem de teste e confirmar resposta
+- [ ] Se tem browser: verificar dropdown no dashboard
+- [ ] Verificar logs do container (sem erros)
+
+#### Novo Modelo/Provedor de IA
+- [ ] API Key configurada (env var ou config)
+- [ ] Modelo acessível (fazer request de teste)
+- [ ] Fallback funcionando (simular falha do primário)
+- [ ] Rate limits conhecidos e documentados
+- [ ] Custo estimado por request documentado
+
+#### Configuração Multi-Agente
+- [ ] Cada agente tem workspace separado
+- [ ] Cada agente responde individualmente
+- [ ] Sessões não se misturam entre agentes
+- [ ] Fallback de modelo funciona para cada agente
+- [ ] Dashboard mostra todos os agentes no dropdown
+
+#### Alteração de VPN/Rede
+- [ ] Pingar IP da VPN (`ping 10.66.0.X`)
+- [ ] SSH via VPN funciona
+- [ ] Portas esperadas acessíveis (curl healthcheck)
+- [ ] Firewall não bloqueia tráfego esperado
+- [ ] DNS resolve corretamente
+
+#### Alteração de Código
+- [ ] Build passa sem erros
+- [ ] Testes unitários passam
+- [ ] Testes de integração passam (se existirem)
+- [ ] Sem erros no console do navegador (se frontend)
+- [ ] Screenshot de referência comparado (se UI)
+
+### 4. Relatório de validação
+
+Após cada teste, gerar relatório em `.agent/audit/`:
+
+```markdown
+# Validação Pós-Alteração
+- **Data**: 2026-02-19T11:24:00
+- **Alteração**: Adicionado agente "browser" com modelo Gemini 3 Flash
+- **Testes executados**: 5
+- **Resultados**:
+  - ✅ Config válida
+  - ✅ Gateway reiniciado
+  - ✅ Agente aparece no status
+  - ✅ Resposta de teste recebida
+  - ⚠️ Dropdown no dashboard: não verificado (sem browser tool)
+- **Status**: PASS (4/5 OK, 1 não aplicável)
+```
+
+## Regras
+- ✅ SEMPRE testar após qualquer alteração. Sem exceção
+- ✅ Se o browser tool está disponível, USAR para verificação visual
+- ✅ Capturar screenshots como prova de validação
+- ✅ Se um teste falha, reportar imediatamente e propor correção
+- ❌ Nunca considerar uma alteração "pronta" sem pelo menos 1 teste de verificação
+- ❌ Nunca pular validação em produção

package/templates/.agent/skills/test-engineer/SKILL.md

@@ -0,0 +1,129 @@
+---
+name: test-engineer
+description: Criação e melhoria de testes (unitários, integração, E2E, performance). Cobertura, TDD, mocking, fixtures e estratégias de teste.
+triggers:
+  - teste
+  - test
+  - tdd
+  - unitário
+  - integração
+  - e2e
+  - end-to-end
+  - cobertura
+  - coverage
+  - mock
+  - fixture
+  - pytest
+  - jest
+  - vitest
+  - playwright
+  - cypress
+  - benchmark
+  - performance test
+  - load test
+---
+
+# Test Engineer
+
+## Objetivo
+Criar, melhorar e manter testes robustos (unitários, integração, E2E, performance), garantindo cobertura adequada e confiança no deploy.
+
+## Contexto necessário
+- Linguagem/framework do projeto
+- Framework de teste existente (Jest, Vitest, Pytest, Go test)
+- Cobertura atual (se disponível)
+- Áreas prioritárias ou código novo
+
+## Fluxo (inspect → plan → consent → apply → verify → audit)
+
+1. **INSPECT** (read-only):
+   - Verificar framework de teste configurado
+   - Medir cobertura atual por módulo
+   - Identificar áreas sem testes (módulos críticos)
+   - Listar funcionalidades sem cobertura E2E
+
+2. **PLAN** — Estratégia de testes por camada:
+
+   | Camada | Proporção (Pirâmide) | Framework sugerido |
+   |--------|---------------------|-------------------|
+   | Unitários | ~70% | Jest, Vitest, Pytest, Go test |
+   | Integração | ~20% | Supertest, httpx, testcontainers |
+   | E2E | ~10% | Playwright, Cypress |
+
+3. **CONSENT**: Confirmar escopo dos testes a criar
+4. **APPLY**: Gerar testes + fixtures + mocks
+5. **VERIFY**: Rodar testes, verificar cobertura
+6. **AUDIT**: Registrar métricas de cobertura antes/depois
+
+## Capacidades
+
+### 🧪 Testes Unitários
+- Testes isolados de funções/classes
+- Mocking de dependências externas (APIs, DB, FS)
+- Parametrização para múltiplos cenários
+- Edge cases: null, undefined, empty, overflow, unicode
+- Padrão AAA: Arrange → Act → Assert
+
+### 🔗 Testes de Integração
+- Testes de endpoints API (request → response)
+- Testes com banco de dados real (testcontainers)
+- Testes de filas/eventos (pub/sub, webhooks)
+- Testes de contratos (consumer-driven contracts)
+
+### 🌐 Testes E2E (End-to-End)
+- Fluxos críticos de usuário (login, checkout, signup)
+- Testes visuais (screenshot comparison)
+- Testes cross-browser (Chrome, Firefox, Safari)
+- Testes de acessibilidade (axe-core)
+
+### ⚡ Testes de Performance
+- Load testing (k6, Artillery, Locust)
+- Benchmark de funções críticas
+- Testes de latência e throughput
+- Stress testing e limites de escalabilidade
+
+### 📊 Cobertura e Métricas
+- Cobertura de linhas, branches, funções
+- Mutation testing (Stryker, mutmut) para medir qualidade dos testes
+- Relatórios de tendência (cobertura ao longo do tempo)
+
+## Checklists
+
+### Escrevendo testes unitários
+- [ ] Nome descritivo: `should_return_error_when_input_is_empty`
+- [ ] Um assert por teste (preferencialmente)
+- [ ] Sem dependência de estado externo (DB, rede, FS)
+- [ ] Mocks com reset/cleanup entre testes
+- [ ] Cobrir happy path + edge cases + error cases
+- [ ] Sem sleep/wait — usar async assertions
+
+### Escrevendo testes E2E
+- [ ] Testar fluxo completo, não fragmentos
+- [ ] Usar page objects / fixtures reutilizáveis
+- [ ] Screenshots em caso de falha
+- [ ] Retry para flakiness controlado
+- [ ] Dados de teste isolados (seed + cleanup)
+
+### Antes de deploy
+- [ ] Todos os testes passam
+- [ ] Cobertura mínima atendida (ex: 80%+)
+- [ ] Nenhum teste flaky (intermitente)
+- [ ] Testes de regressão validam fix de bugs anteriores
+- [ ] Performance baseline mantida
+
+## Ferramentas recomendadas
+
+| Tipo | JavaScript/TS | Python | Go |
+|------|--------------|--------|-----|
+| Unitário | Jest, Vitest | Pytest | testing |
+| API | Supertest | httpx, pytest-httpx | net/http/httptest |
+| E2E | Playwright, Cypress | Playwright | chromedp |
+| Performance | k6, Artillery | Locust | go-wrk |
+| Cobertura | c8, istanbul | coverage.py | go test -cover |
+| Mutation | Stryker | mutmut | go-mutesting |
+
+## Regras de segurança
+- ✅ Testes nunca devem conter dados reais de produção
+- ✅ Fixtures devem usar dados sintéticos (faker, factory)
+- ❌ Nunca desabilitar testes que falham — investigar e corrigir
+- ❌ Nunca testar contra APIs de produção (usar mocks ou staging)

package/templates/.agent/skills/vpn-networking/SKILL.md

@@ -0,0 +1,200 @@
+---
+name: vpn-networking
+description: Setup e gerenciamento de VPNs (WireGuard, Tailscale, OpenVPN, Cloudflare Tunnel, ZeroTier, Headscale) e networking seguro entre VPS, Mac, Docker e cloud.
+triggers:
+  - vpn
+  - wireguard
+  - tailscale
+  - openvpn
+  - cloudflare tunnel
+  - zerotier
+  - headscale
+  - rede
+  - network
+  - tunel
+  - tunnel
+  - peer
+  - mesh
+  - overlay
+  - site-to-site
+---
+
+# VPN & Networking
+
+## Objetivo
+Configurar redes privadas seguras entre VPS, dispositivos locais e containers, usando a solução de VPN mais adequada para cada cenário.
+
+## Soluções VPN — Comparativo
+
+| VPN | Tipo | Setup | Performance | Self-hosted | Free | Melhor para |
+|-----|------|-------|------------|------------|------|------------|
+| **WireGuard** | Kernel VPN | Médio | ⚡⚡⚡ Excelente | ✅ Total | ✅ | Site-to-site, alta performance |
+| **Tailscale** | Mesh overlay | ⚡ Fácil | ⚡⚡ Boa | ⚠️ Parcial | ✅ (3 users) | Zero-config, multi-device |
+| **Headscale** | Mesh overlay | Médio | ⚡⚡ Boa | ✅ Total | ✅ | Tailscale self-hosted |
+| **OpenVPN** | TLS VPN | Complexo | ⚡ OK | ✅ Total | ✅ | Legacy, compatibilidade |
+| **Cloudflare Tunnel** | Reverse tunnel | ⚡ Fácil | ⚡⚡ Boa | ❌ Cloudflare | ✅ | Expor serviços sem IP público |
+| **ZeroTier** | Mesh overlay | ⚡ Fácil | ⚡⚡ Boa | ✅ Total | ✅ (25 devices) | IoT, redes grandes |
+| **Nebula** | Mesh overlay | Médio | ⚡⚡⚡ Excelente | ✅ Total | ✅ | Escala enterprise (Slack) |
+
+---
+
+## WireGuard — Setup Completo
+
+### Cenário: VPS → Mac (ponto a ponto)
+
+**No servidor (VPS):**
+```bash
+# Instalar
+apt install wireguard
+
+# Gerar chaves
+wg genkey | tee /etc/wireguard/private.key | wg pubkey > /etc/wireguard/public.key
+chmod 600 /etc/wireguard/private.key
+
+# Configurar /etc/wireguard/wg0.conf
+[Interface]
+PrivateKey = <CHAVE_PRIVADA_VPS>
+Address = 10.66.0.1/24
+ListenPort = 51820
+PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
+PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
+
+[Peer]
+PublicKey = <CHAVE_PUBLICA_MAC>
+AllowedIPs = 10.66.0.2/32
+
+# Ativar
+wg-quick up wg0
+systemctl enable wg-quick@wg0
+```
+
+**No Mac (peer):**
+```bash
+# Instalar via Homebrew ou App Store
+brew install wireguard-tools
+
+# Configurar /etc/wireguard/wg0.conf
+[Interface]
+PrivateKey = <CHAVE_PRIVADA_MAC>
+Address = 10.66.0.2/24
+
+[Peer]
+PublicKey = <CHAVE_PUBLICA_VPS>
+Endpoint = <IP_PUBLICO_VPS>:51820
+AllowedIPs = 10.66.0.0/24
+PersistentKeepalive = 25
+
+# Conectar
+wg-quick up wg0
+```
+
+### Dashboard (WGDashboard — Docker)
+```yaml
+# docker-compose.yml
+services:
+  wgdashboard:
+    image: donaldzou/wgdashboard:latest
+    cap_add: [NET_ADMIN, SYS_MODULE]
+    ports:
+      - "10086:10086"
+      - "51820:51820/udp"
+    volumes:
+      - ./wg-data:/etc/wireguard
+    sysctls:
+      net.ipv4.ip_forward: 1
+```
+
+---
+
+## Tailscale — Zero-Config
+
+```bash
+# VPS
+curl -fsSL https://tailscale.com/install.sh | sh
+tailscale up --ssh
+
+# Mac
+brew install tailscale
+tailscale up
+
+# Verificar rede
+tailscale status
+# Dispositivos se encontram automaticamente (MagicDNS)
+```
+
+**Vantagens:** Zero-config, NAT traversal automático, MagicDNS, SSH integrado, ACLs
+**Limitações:** Depende de coord server (Tailscale Inc.), free até 3 users
+
+---
+
+## Headscale — Tailscale Self-Hosted
+
+```bash
+# No servidor (control plane)
+wget https://github.com/juanfont/headscale/releases/latest/download/headscale_linux_amd64
+chmod +x headscale_linux_amd64
+mv headscale_linux_amd64 /usr/local/bin/headscale
+
+# Configurar /etc/headscale/config.yaml
+# Registrar namespace e nodes
+headscale namespaces create minha-rede
+headscale nodes register --namespace minha-rede --key <node-key>
+```
+
+---
+
+## Cloudflare Tunnel — Sem IP Público
+
+```bash
+# Instalar cloudflared
+curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg | sudo tee /usr/share/keyrings/cloudflare-main.gpg
+apt install cloudflared
+
+# Autenticar
+cloudflared tunnel login
+
+# Criar túnel
+cloudflared tunnel create meu-tunel
+cloudflared tunnel route dns meu-tunel app.meudominio.com
+
+# Configurar ~/.cloudflared/config.yml
+tunnel: <TUNNEL_ID>
+ingress:
+  - hostname: app.meudominio.com
+    service: http://localhost:3000
+  - service: http_status:404
+
+# Rodar
+cloudflared tunnel run meu-tunel
+```
+
+---
+
+## Cenários comuns e recomendação
+
+| Cenário | VPN recomendada | Motivo |
+|---------|----------------|--------|
+| VPS pessoal + Mac | WireGuard | Performance, controle total |
+| Múltiplos dispositivos pessoais | Tailscale | Zero-config, fácil |
+| Empresa/Team | Headscale ou Tailscale Pro | ACLs, controle |
+| Expor serviço sem IP fixo | Cloudflare Tunnel | Sem porta aberta |
+| IoT / muitos devices | ZeroTier | Escalável, simples |
+| Legacy / compatibilidade | OpenVPN | Suporte universal |
+| Alta performance + escala | Nebula | Kernel-level, mesh |
+
+## Troubleshooting comum
+
+| Problema | Diagnóstico | Solução |
+|---------|------------|---------|
+| Peer não conecta | `wg show` (handshake?) | Verificar endpoint, firewall, chaves |
+| Tráfego não passa | `ping 10.66.0.X` falha | Verificar AllowedIPs, ip_forward |
+| DNS não resolve | `dig @10.66.0.1` | Configurar DNS no wg0.conf |
+| Conexão cai | Sem keepalive | Adicionar `PersistentKeepalive = 25` |
+| Performance ruim | `iperf3` entre peers | Verificar MTU (1420 para WG) |
+
+## Regras de segurança
+- ✅ Chaves WireGuard devem ter permissão 600
+- ✅ Firewall deve permitir apenas porta da VPN publicamente
+- ✅ SSH deve ser acessível SOMENTE via VPN quando possível
+- ❌ Nunca compartilhar chaves privadas entre peers
+- ❌ Nunca usar AllowedIPs = 0.0.0.0/0 sem entender as implicações