npm - @fabioforest/openclaw - Versions diffs - 3.6.0 → 3.7.1 - Mend

@fabioforest/openclaw 3.6.0 → 3.7.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (6) hide show

package/README.md +7 -3
package/package.json +1 -1
package/templates/.agent/skills/ai-provider-setup/SKILL.md +244 -0
package/templates/.agent/skills/smoke-tester/SKILL.md +160 -0
package/templates/.agent/skills/vpn-networking/SKILL.md +200 -0
package/templates/.agent/skills/vps-cloud-infra/SKILL.md +140 -0

package/README.md CHANGED Viewed

@@ -371,7 +371,7 @@ Verifica conectividade, proxy, versões e integridade do ambiente.
 ---
-## 🧠 Skills Disponíveis (21)
+## 🧠 Skills Disponíveis (25)
 ### Core — Infraestrutura do AI OS
@@ -392,15 +392,19 @@ Verifica conectividade, proxy, versões e integridade do ambiente.
 |-------|-----------|-------------|
 | `code-quality` | SOLID, DRY, KISS, Clean Code | Para revisar e melhorar qualidade de código |
 | `legacy-cleanup` | Refatoração segura de legado | Para remover dead code, deps obsoletas |
-| `test-engineer` | Testes unitários/integração/E2E | Para criar e melhorar suite de testes |
+| `test-engineer` | Testes unit/integração/E2E | Para criar e melhorar suite de testes |
+| `smoke-tester` | Validação pós-alteração | Para testar automaticamente após qualquer mudança |
 | `security-scanner` | SAST, DAST, OWASP Top 10 | Para auditoria de segurança e vulnerabilidades |
-### DevOps & MLOps — Infraestrutura e Machine Learning
+### DevOps, MLOps & Infra
 | Skill | O que faz | Quando usar |
 |-------|-----------|-------------|
 | `devops-toolkit` | Docker, CI/CD, K8s, Terraform | Para automação de infra e deploy |
 | `mlops-pipeline` | Treinamento, serving, RAG, drift | Para pipelines de ML em produção |
+| `vps-cloud-infra` | 9 provedores VPS/Cloud, hardening | Para provisionar e gerenciar servidores |
+| `vpn-networking` | 7 soluções VPN, troubleshooting | Para redes privadas seguras |
+| `ai-provider-setup` | 10+ provedores de IA, API keys | Para adicionar novos modelos/provedores |
 ### Produtividade — Automação e Web

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@fabioforest/openclaw",
-  "version": "3.6.0",
+  "version": "3.7.1",
   "description": "Agentes autônomos para engenharia de software",
   "publishConfig": {
     "access": "public"

package/templates/.agent/skills/ai-provider-setup/SKILL.md ADDED Viewed

@@ -0,0 +1,244 @@
+---
+name: ai-provider-setup
+description: Guia passo a passo para adicionar e configurar provedores de IA (Gemini, OpenAI, Claude, Groq, Mistral, Ollama, etc.) com obtenção de API keys, configuração e teste.
+triggers:
+  - adicionar ia
+  - novo modelo
+  - api key
+  - token ia
+  - configurar modelo
+  - gemini
+  - openai
+  - claude
+  - groq
+  - mistral
+  - ollama
+  - huggingface
+  - cohere
+  - deepseek
+  - qwen
+  - provedor
+  - provider
+---
+# AI Provider Setup
+## Objetivo
+Guiar o usuário passo a passo para adicionar novos provedores e modelos de IA, incluindo obtenção de API keys, configuração no projeto e validação de funcionamento.
+## Provedores Suportados — Guia Completo
+### 🟢 Google Gemini (Recomendado — Free Tier Generoso)
+**Modelos disponíveis:** Gemini 2.5 Pro, Gemini 2.5 Flash, Gemini 2.5 Flash-Lite
+**Como obter a API Key:**
+1. Acesse [Google AI Studio](https://aistudio.google.com/apikey)
+2. Faça login com sua conta Google
+3. Clique em "Create API Key"
+4. Selecione o projeto GCP (ou crie um novo)
+5. Copie a chave gerada
+**Limites do Free Tier:**
+- Gemini Flash: 15 RPM, 1.500 RPD, 1M TPM
+- Gemini Pro: 5 RPM, 25 RPD, 1M TPM
+- **Atenção**: dados do free tier podem ser usados para treinamento. Para opt-out, use o plano pago
+**Configuração:**
+```json
+{
+  "env": { "vars": { "GOOGLE_API_KEY": "AIza..." } },
+  "agents": {
+    "defaults": {
+      "model": { "primary": "gemini/gemini-2.5-flash" }
+    }
+  }
+}
+```
+---
+### 🟡 OpenAI (GPT-5, GPT-5 mini, Codex)
+**Modelos disponíveis:** GPT-5.2, GPT-5.1-codex, GPT-5 mini, o3, o4-mini
+**Como obter a API Key:**
+1. Acesse [OpenAI Platform](https://platform.openai.com/api-keys)
+2. Faça login ou crie conta
+3. Clique em "Create new secret key"
+4. Dê um nome descritivo (ex: "openclaw-vps")
+5. Copie a chave (só aparece 1 vez!)
+**Importante:** Requer cartão de crédito para uso (PAYG — Pay As You Go)
+**Configuração:**
+```json
+{
+  "env": { "vars": { "OPENAI_API_KEY": "sk-proj-..." } },
+  "agents": {
+    "defaults": {
+      "model": { "primary": "openai/gpt-5.2" }
+    }
+  }
+}
+```
+---
+### 🟣 Anthropic Claude (Claude Opus 4.5, Sonnet 4)
+**Modelos disponíveis:** Claude Opus 4.5, Claude Sonnet 4, Claude Haiku
+**Como obter a API Key:**
+1. Acesse [Anthropic Console](https://console.anthropic.com/settings/keys)
+2. Crie uma conta (email + verificação)
+3. Adicione créditos (mínimo US$ 5)
+4. Clique em "Create Key"
+5. Copie a chave
+**Configuração:**
+```json
+{
+  "env": { "vars": { "ANTHROPIC_API_KEY": "sk-ant-..." } },
+  "agents": {
+    "defaults": {
+      "model": { "primary": "anthropic/claude-sonnet-4" }
+    }
+  }
+}
+```
+---
+### 🟠 Groq (Free, Ultra-Rápido)
+**Modelos disponíveis:** Llama 3.3 70B, Mixtral 8x7B, Gemma 2 9B
+**Como obter a API Key:**
+1. Acesse [GroqCloud Console](https://console.groq.com/keys)
+2. Faça login com Google ou GitHub
+3. Clique em "Create API Key"
+4. Copie a chave
+**Limites do Free Tier (sem cartão):**
+- 30 RPM, 14.400 RPD, 6.000 TPM (varia por modelo)
+- Sem armazenamento de dados (política de privacidade forte)
+**Configuração:**
+```json
+{
+  "env": { "vars": { "GROQ_API_KEY": "gsk_..." } },
+  "agents": {
+    "defaults": {
+      "model": { "primary": "groq/llama-3.3-70b-versatile" }
+    }
+  }
+}
+```
+---
+### 🔵 Mistral AI
+**Modelos disponíveis:** Mistral Large, Mistral Medium, Codestral, Pixtral
+**Como obter a API Key:**
+1. Acesse [Mistral Console](https://console.mistral.ai/api-keys)
+2. Crie conta (requer verificação por telefone no plano free)
+3. Clique em "Create new key"
+4. Copie a chave
+**Free Tier (Experiment):** Limites conservadores, dados podem ser usados para treinamento (opt-out disponível)
+**Configuração:**
+```json
+{
+  "env": { "vars": { "MISTRAL_API_KEY": "..." } },
+  "agents": {
+    "defaults": {
+      "model": { "primary": "mistral/mistral-large-latest" }
+    }
+  }
+}
+```
+---
+### 🟤 Ollama (Local, Gratuito, Privado)
+**Modelos disponíveis:** Qwen 2.5 Coder, Llama 3.3, DeepSeek Coder V2, Phi-3, Mistral, Gemma
+**Como instalar:**
+```bash
+# macOS / Linux
+curl -fsSL https://ollama.com/install.sh | sh
+# Baixar modelo
+ollama pull qwen2.5-coder:7b
+# Verificar se está rodando
+ollama list
+curl http://localhost:11434/api/tags
+```
+**Vantagens:** 100% local, sem custos, total privacidade, sem rate limits
+**Desvantagens:** Requer GPU/RAM, modelos menores que APIs cloud
+**Configuração (com OpenClaw):**
+```json
+{
+  "agents": {
+    "defaults": {
+      "model": { "primary": "ollama/qwen2.5-coder:7b" }
+    }
+  }
+}
+```
+---
+### 🟢 Cohere
+**Como obter:** [Cohere Dashboard](https://dashboard.cohere.com/api-keys) → Trial: 1.000 calls/mês
+### 🔵 DeepSeek
+**Como obter:** [DeepSeek Platform](https://platform.deepseek.com/api_keys) → Créditos iniciais gratuitos
+### 🟡 HuggingFace Inference
+**Como obter:** [HuggingFace Settings](https://huggingface.co/settings/tokens) → Free tier com créditos
+### 🟠 OpenRouter (Multi-provedor)
+**Como obter:** [OpenRouter Keys](https://openrouter.ai/keys) → 50 req/dia free, acesso a 100+ modelos
+---
+## Fluxo de adição de novo provedor
+1. **Escolher provedor** com base em: custo, qualidade, privacidade, velocidade
+2. **Obter API Key** seguindo o passo a passo acima
+3. **Configurar** no `openclaw.json` (env.vars + agents.defaults.model)
+4. **Testar** com um request simples (smoke-tester)
+5. **Definir fallbacks** (chain de modelos por perfil)
+6. **Documentar** custos estimados e limites
+## Comparativo rápido
+| Provedor | Free | Privacidade | Velocidade | Qualidade | Melhor para |
+|---------|------|------------|-----------|----------|------------|
+| Gemini | ✅ Generoso | ⚠️ Treina (free) | ⚡ Rápido | ⭐⭐⭐⭐ | Uso geral, coding |
+| Groq | ✅ Sem cartão | ✅ Não armazena | ⚡⚡⚡ Ultra | ⭐⭐⭐ | Volume alto, rascunhos |
+| Ollama | ✅ Totalmente | ✅ 100% local | ⚡ (com GPU) | ⭐⭐⭐ | Privacidade total |
+| OpenAI | ❌ Pago | ✅ Não treina | ⚡⚡ Rápido | ⭐⭐⭐⭐⭐ | Máxima qualidade |
+| Claude | ❌ Pago | ✅ 30 dias | ⚡⚡ Rápido | ⭐⭐⭐⭐⭐ | Raciocínio, ética |
+| Mistral | ⚠️ Limitado | ⚠️ Opt-out | ⚡⚡ Rápido | ⭐⭐⭐⭐ | Coding, EU compliance |
+| OpenRouter | ⚠️ 50/dia | ✅ Não armazena | Varia | Varia | Multi-modelo |
+## Regras de segurança
+- ✅ Armazenar API keys em variáveis de ambiente ou secret manager
+- ✅ Testar com request simples antes de usar em produção
+- ✅ Documentar custos e limites de cada provedor
+- ❌ Nunca commitar API keys no Git
+- ❌ Nunca logar API keys em texto puro nos audit logs

package/templates/.agent/skills/smoke-tester/SKILL.md ADDED Viewed

@@ -0,0 +1,160 @@
+---
+name: smoke-tester
+description: Validação automática pós-alteração. Testa se mudanças funcionam como esperado usando testes automatizados, browser testing (quando disponível) ou verificações programáticas.
+triggers:
+  - testar alteração
+  - verificar se funciona
+  - smoke test
+  - validar
+  - testar se funciona
+  - funciona?
+  - está funcionando
+  - conferir
+  - healthcheck pós-deploy
+  - verificação
+  - pós-alteração
+---
+# Smoke Tester (Validação Pós-Alteração)
+## Objetivo
+Após **qualquer alteração** no projeto (novo agente, config, deploy, código), executar automaticamente uma bateria de testes para confirmar que tudo funciona como esperado.
+> **Princípio**: Nenhuma alteração é considerada completa sem validação. O agente DEVE testar após aplicar.
+## Contexto necessário
+- O que foi alterado (config, código, agente, infra)
+- Ambiente (local, Docker, VPS, IDE)
+- Ferramentas disponíveis (browser tool, terminal, API)
+## Fluxo automático pós-alteração
+```
+ALTERAÇÃO → DETECTAR TIPO → ESCOLHER TESTE → EXECUTAR → REPORTAR
+```
+### 1. Detectar tipo de alteração
+| Tipo | Exemplos | Teste adequado |
+|------|----------|---------------|
+| Config de agente | Novo agente, modelo, fallback | Health ping + resposta de teste |
+| Config de gateway | Porta, bind, auth, CORS | Curl/HTTP request + status check |
+| Config de canal | Telegram, Discord, Slack | Enviar mensagem de teste + verificar status |
+| Código (backend) | API, lógica, módulo | Unit tests + integration tests |
+| Código (frontend) | UI, componente, página | Browser testing (screenshot + assertions) |
+| Infraestrutura | Docker, VPN, firewall | Connectivity check + healthcheck |
+| Dependências | npm install, pip install | Build + test suite |
+### 2. Métodos de teste por ambiente
+#### Terminal/CLI (sempre disponível)
+```bash
+# Verificar se processo está rodando
+docker ps | grep <container>
+systemctl status <service>
+# Testar endpoint HTTP
+curl -s -o /dev/null -w "%{http_code}" http://localhost:PORT/health
+# Verificar conectividade
+ping -c 1 <host>
+ssh -o ConnectTimeout=5 <host> echo "OK"
+# Rodar suite de testes
+npm test
+pytest
+go test ./...
+```
+#### Browser Testing (Antigravity, Cursor com browser tool)
+Quando o agente tem acesso ao browser tool:
+```
+1. Abrir URL alvo no navegador
+2. Verificar se a página carrega (screenshot)
+3. Verificar elementos esperados na DOM
+4. Clicar em elementos interativos
+5. Verificar console do navegador (sem erros)
+6. Capturar screenshot final como prova
+```
+**Cenários de browser testing:**
+- Dashboard do OpenClaw: verificar se carrega, dropdown de agentes presente
+- Site/App: verificar homepage, navegação, formulários
+- Página de login: testar fluxo completo
+- API docs: verificar se Swagger/OpenAPI renderiza
+#### API Testing (programático)
+```bash
+# Testar agente do OpenClaw
+curl -X POST http://localhost:18789/api/chat \
+  -H "Authorization: Bearer <token>" \
+  -d '{"message": "ping"}' \
+  | jq '.response'
+# Verificar status de agentes
+curl http://localhost:18789/api/status --json | jq '.agents'
+```
+### 3. Checklists por tipo de alteração
+#### Novo Agente Adicionado
+- [ ] Config válida no `openclaw.json` (id, model, workspace)
+- [ ] Reiniciar gateway/container
+- [ ] Verificar que o agente aparece no status (`/api/status`)
+- [ ] Enviar mensagem de teste e confirmar resposta
+- [ ] Se tem browser: verificar dropdown no dashboard
+- [ ] Verificar logs do container (sem erros)
+#### Novo Modelo/Provedor de IA
+- [ ] API Key configurada (env var ou config)
+- [ ] Modelo acessível (fazer request de teste)
+- [ ] Fallback funcionando (simular falha do primário)
+- [ ] Rate limits conhecidos e documentados
+- [ ] Custo estimado por request documentado
+#### Configuração Multi-Agente
+- [ ] Cada agente tem workspace separado
+- [ ] Cada agente responde individualmente
+- [ ] Sessões não se misturam entre agentes
+- [ ] Fallback de modelo funciona para cada agente
+- [ ] Dashboard mostra todos os agentes no dropdown
+#### Alteração de VPN/Rede
+- [ ] Pingar IP da VPN (`ping 10.66.0.X`)
+- [ ] SSH via VPN funciona
+- [ ] Portas esperadas acessíveis (curl healthcheck)
+- [ ] Firewall não bloqueia tráfego esperado
+- [ ] DNS resolve corretamente
+#### Alteração de Código
+- [ ] Build passa sem erros
+- [ ] Testes unitários passam
+- [ ] Testes de integração passam (se existirem)
+- [ ] Sem erros no console do navegador (se frontend)
+- [ ] Screenshot de referência comparado (se UI)
+### 4. Relatório de validação
+Após cada teste, gerar relatório em `.agent/audit/`:
+```markdown
+# Validação Pós-Alteração
+- **Data**: 2026-02-19T11:24:00
+- **Alteração**: Adicionado agente "browser" com modelo Gemini 3 Flash
+- **Testes executados**: 5
+- **Resultados**:
+  - ✅ Config válida
+  - ✅ Gateway reiniciado
+  - ✅ Agente aparece no status
+  - ✅ Resposta de teste recebida
+  - ⚠️ Dropdown no dashboard: não verificado (sem browser tool)
+- **Status**: PASS (4/5 OK, 1 não aplicável)
+```
+## Regras
+- ✅ SEMPRE testar após qualquer alteração. Sem exceção
+- ✅ Se o browser tool está disponível, USAR para verificação visual
+- ✅ Capturar screenshots como prova de validação
+- ✅ Se um teste falha, reportar imediatamente e propor correção
+- ❌ Nunca considerar uma alteração "pronta" sem pelo menos 1 teste de verificação
+- ❌ Nunca pular validação em produção

package/templates/.agent/skills/vpn-networking/SKILL.md ADDED Viewed

@@ -0,0 +1,200 @@
+---
+name: vpn-networking
+description: Setup e gerenciamento de VPNs (WireGuard, Tailscale, OpenVPN, Cloudflare Tunnel, ZeroTier, Headscale) e networking seguro entre VPS, Mac, Docker e cloud.
+triggers:
+  - vpn
+  - wireguard
+  - tailscale
+  - openvpn
+  - cloudflare tunnel
+  - zerotier
+  - headscale
+  - rede
+  - network
+  - tunel
+  - tunnel
+  - peer
+  - mesh
+  - overlay
+  - site-to-site
+---
+# VPN & Networking
+## Objetivo
+Configurar redes privadas seguras entre VPS, dispositivos locais e containers, usando a solução de VPN mais adequada para cada cenário.
+## Soluções VPN — Comparativo
+| VPN | Tipo | Setup | Performance | Self-hosted | Free | Melhor para |
+|-----|------|-------|------------|------------|------|------------|
+| **WireGuard** | Kernel VPN | Médio | ⚡⚡⚡ Excelente | ✅ Total | ✅ | Site-to-site, alta performance |
+| **Tailscale** | Mesh overlay | ⚡ Fácil | ⚡⚡ Boa | ⚠️ Parcial | ✅ (3 users) | Zero-config, multi-device |
+| **Headscale** | Mesh overlay | Médio | ⚡⚡ Boa | ✅ Total | ✅ | Tailscale self-hosted |
+| **OpenVPN** | TLS VPN | Complexo | ⚡ OK | ✅ Total | ✅ | Legacy, compatibilidade |
+| **Cloudflare Tunnel** | Reverse tunnel | ⚡ Fácil | ⚡⚡ Boa | ❌ Cloudflare | ✅ | Expor serviços sem IP público |
+| **ZeroTier** | Mesh overlay | ⚡ Fácil | ⚡⚡ Boa | ✅ Total | ✅ (25 devices) | IoT, redes grandes |
+| **Nebula** | Mesh overlay | Médio | ⚡⚡⚡ Excelente | ✅ Total | ✅ | Escala enterprise (Slack) |
+---
+## WireGuard — Setup Completo
+### Cenário: VPS → Mac (ponto a ponto)
+**No servidor (VPS):**
+```bash
+# Instalar
+apt install wireguard
+# Gerar chaves
+wg genkey | tee /etc/wireguard/private.key | wg pubkey > /etc/wireguard/public.key
+chmod 600 /etc/wireguard/private.key
+# Configurar /etc/wireguard/wg0.conf
+[Interface]
+PrivateKey = <CHAVE_PRIVADA_VPS>
+Address = 10.66.0.1/24
+ListenPort = 51820
+PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
+PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
+[Peer]
+PublicKey = <CHAVE_PUBLICA_MAC>
+AllowedIPs = 10.66.0.2/32
+# Ativar
+wg-quick up wg0
+systemctl enable wg-quick@wg0
+```
+**No Mac (peer):**
+```bash
+# Instalar via Homebrew ou App Store
+brew install wireguard-tools
+# Configurar /etc/wireguard/wg0.conf
+[Interface]
+PrivateKey = <CHAVE_PRIVADA_MAC>
+Address = 10.66.0.2/24
+[Peer]
+PublicKey = <CHAVE_PUBLICA_VPS>
+Endpoint = <IP_PUBLICO_VPS>:51820
+AllowedIPs = 10.66.0.0/24
+PersistentKeepalive = 25
+# Conectar
+wg-quick up wg0
+```
+### Dashboard (WGDashboard — Docker)
+```yaml
+# docker-compose.yml
+services:
+  wgdashboard:
+    image: donaldzou/wgdashboard:latest
+    cap_add: [NET_ADMIN, SYS_MODULE]
+    ports:
+      - "10086:10086"
+      - "51820:51820/udp"
+    volumes:
+      - ./wg-data:/etc/wireguard
+    sysctls:
+      net.ipv4.ip_forward: 1
+```
+---
+## Tailscale — Zero-Config
+```bash
+# VPS
+curl -fsSL https://tailscale.com/install.sh | sh
+tailscale up --ssh
+# Mac
+brew install tailscale
+tailscale up
+# Verificar rede
+tailscale status
+# Dispositivos se encontram automaticamente (MagicDNS)
+```
+**Vantagens:** Zero-config, NAT traversal automático, MagicDNS, SSH integrado, ACLs
+**Limitações:** Depende de coord server (Tailscale Inc.), free até 3 users
+---
+## Headscale — Tailscale Self-Hosted
+```bash
+# No servidor (control plane)
+wget https://github.com/juanfont/headscale/releases/latest/download/headscale_linux_amd64
+chmod +x headscale_linux_amd64
+mv headscale_linux_amd64 /usr/local/bin/headscale
+# Configurar /etc/headscale/config.yaml
+# Registrar namespace e nodes
+headscale namespaces create minha-rede
+headscale nodes register --namespace minha-rede --key <node-key>
+```
+---
+## Cloudflare Tunnel — Sem IP Público
+```bash
+# Instalar cloudflared
+curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg | sudo tee /usr/share/keyrings/cloudflare-main.gpg
+apt install cloudflared
+# Autenticar
+cloudflared tunnel login
+# Criar túnel
+cloudflared tunnel create meu-tunel
+cloudflared tunnel route dns meu-tunel app.meudominio.com
+# Configurar ~/.cloudflared/config.yml
+tunnel: <TUNNEL_ID>
+ingress:
+  - hostname: app.meudominio.com
+    service: http://localhost:3000
+  - service: http_status:404
+# Rodar
+cloudflared tunnel run meu-tunel
+```
+---
+## Cenários comuns e recomendação
+| Cenário | VPN recomendada | Motivo |
+|---------|----------------|--------|
+| VPS pessoal + Mac | WireGuard | Performance, controle total |
+| Múltiplos dispositivos pessoais | Tailscale | Zero-config, fácil |
+| Empresa/Team | Headscale ou Tailscale Pro | ACLs, controle |
+| Expor serviço sem IP fixo | Cloudflare Tunnel | Sem porta aberta |
+| IoT / muitos devices | ZeroTier | Escalável, simples |
+| Legacy / compatibilidade | OpenVPN | Suporte universal |
+| Alta performance + escala | Nebula | Kernel-level, mesh |
+## Troubleshooting comum
+| Problema | Diagnóstico | Solução |
+|---------|------------|---------|
+| Peer não conecta | `wg show` (handshake?) | Verificar endpoint, firewall, chaves |
+| Tráfego não passa | `ping 10.66.0.X` falha | Verificar AllowedIPs, ip_forward |
+| DNS não resolve | `dig @10.66.0.1` | Configurar DNS no wg0.conf |
+| Conexão cai | Sem keepalive | Adicionar `PersistentKeepalive = 25` |
+| Performance ruim | `iperf3` entre peers | Verificar MTU (1420 para WG) |
+## Regras de segurança
+- ✅ Chaves WireGuard devem ter permissão 600
+- ✅ Firewall deve permitir apenas porta da VPN publicamente
+- ✅ SSH deve ser acessível SOMENTE via VPN quando possível
+- ❌ Nunca compartilhar chaves privadas entre peers
+- ❌ Nunca usar AllowedIPs = 0.0.0.0/0 sem entender as implicações

package/templates/.agent/skills/vps-cloud-infra/SKILL.md ADDED Viewed

@@ -0,0 +1,140 @@
+---
+name: vps-cloud-infra
+description: Setup, gerenciamento e hardening de VPS e cloud servers. Suporte a Contabo, Hetzner, DigitalOcean, Linode, Oracle Cloud, AWS Lightsail, Vultr e mais.
+triggers:
+  - vps
+  - servidor
+  - server
+  - contabo
+  - hetzner
+  - digitalocean
+  - linode
+  - oracle cloud
+  - aws
+  - lightsail
+  - vultr
+  - cloud
+  - ubuntu server
+  - debian
+  - centos
+  - ssh
+  - firewall
+  - ufw
+  - iptables
+  - hardening
+  - provisionamento
+---
+# VPS & Cloud Infrastructure
+## Objetivo
+Provisionar, configurar, proteger e gerenciar servidores VPS/Cloud de qualquer provedor, seguindo boas práticas de segurança e automação.
+## Provedores suportados — Comparativo
+| Provedor | Preço mín/mês | vCPU | RAM | Disco | Rede | Free tier | Melhor para |
+|---------|--------------|------|-----|-------|------|---------|------------|
+| **Contabo** | €4.99 | 4 | 6GB | 100GB SSD | 32TB | ❌ | Custo/benefício, storage |
+| **Hetzner** | €3.79 | 2 | 2GB | 20GB | 20TB | ❌ | EU, performance, ARM |
+| **DigitalOcean** | $6 | 1 | 1GB | 25GB | 1TB | $200 (60d) | Simplicidade, Apps |
+| **Linode/Akamai** | $5 | 1 | 1GB | 25GB | 1TB | $100 (60d) | Comunidade, docs |
+| **Vultr** | $2.50 | 1 | 512MB | 10GB | 500GB | $250 (30d) | Ultra-barato |
+| **Oracle Cloud** | Free | 4 ARM | 24GB | 200GB | 10TB | ✅ Always Free | GPU grátis (ARM Ampere) |
+| **AWS Lightsail** | $3.50 | 1 | 512MB | 20GB | 1TB | $0 (3mo) | Ecossistema AWS |
+| **GCP Compute** | $6.11 | 1 | 0.6GB | 10GB | Egress $ | ✅ e2-micro | Integração Google |
+| **Azure B1s** | Free | 1 | 1GB | 64GB | 15GB | ✅ 12 meses | Enterprise, .NET |
+## Setup inicial de VPS — Checklist universal
+### Passo 1: Acesso inicial
+```bash
+# Conectar via SSH (primeiro acesso, geralmente root)
+ssh root@<IP_DO_SERVIDOR>
+# Se exigir senha, trocar por chave imediatamente
+ssh-copy-id -i ~/.ssh/id_ed25519.pub root@<IP>
+```
+### Passo 2: Criar usuário admin (nunca usar root no dia a dia)
+```bash
+adduser fabio
+usermod -aG sudo fabio
+mkdir -p /home/fabio/.ssh
+cp /root/.ssh/authorized_keys /home/fabio/.ssh/
+chown -R fabio:fabio /home/fabio/.ssh
+chmod 700 /home/fabio/.ssh
+chmod 600 /home/fabio/.ssh/authorized_keys
+```
+### Passo 3: Hardening SSH
+```bash
+# /etc/ssh/sshd_config
+PermitRootLogin no
+PasswordAuthentication no
+PubkeyAuthentication yes
+MaxAuthTries 3
+ClientAliveInterval 300
+ClientAliveCountMax 2
+# Reiniciar SSH
+systemctl restart sshd
+```
+### Passo 4: Firewall
+```bash
+# UFW (Ubuntu/Debian)
+ufw default deny incoming
+ufw default allow outgoing
+ufw allow ssh
+ufw allow 80/tcp
+ufw allow 443/tcp
+ufw enable
+# Para VPN: adicionar porta WireGuard
+ufw allow 51820/udp
+```
+### Passo 5: Atualizações automáticas
+```bash
+apt install unattended-upgrades
+dpkg-reconfigure -plow unattended-upgrades
+```
+### Passo 6: Docker (se necessário)
+```bash
+curl -fsSL https://get.docker.com | sh
+usermod -aG docker fabio
+# Relogar para aplicar grupo
+```
+### Passo 7: Monitoramento básico
+```bash
+# Instalar ferramentas essenciais
+apt install htop iotop ncdu fail2ban
+# Fail2ban (proteção contra brute force)
+systemctl enable fail2ban
+systemctl start fail2ban
+```
+## Hardening avançado
+| Item | Comando/Config | Prioridade |
+|------|---------------|-----------|
+| SSH key-only | `PasswordAuthentication no` | 🔴 Crítico |
+| Disable root login | `PermitRootLogin no` | 🔴 Crítico |
+| Fail2ban | `apt install fail2ban` | 🟠 Alta |
+| UFW firewall | `ufw enable` | 🟠 Alta |
+| Unattended upgrades | `dpkg-reconfigure unattended-upgrades` | 🟡 Média |
+| SSH port diferente | `Port 2222` em sshd_config | 🟡 Média |
+| 2FA SSH | `libpam-google-authenticator` | 🟢 Opcional |
+| Audit logging | `auditd` + regras | 🟢 Opcional |
+| CrowdSec | Alternativa moderna ao fail2ban | 🟢 Opcional |
+## Regras de segurança
+- ✅ Nunca usar root para tarefas do dia a dia
+- ✅ SSH somente por chave (nunca senha)
+- ✅ Firewall ativo com regras mínimas
+- ✅ Backups regulares (ponto de restauração antes de mudanças)
+- ❌ Nunca expor portas desnecessárias sem firewall
+- ❌ Nunca armazenar chaves SSH privadas no servidor