@productmaker/mcp 0.1.5 → 0.1.6

package/README.md

@@ -41,6 +41,16 @@ Header: `Authorization: Bearer pm_live_...`
 | `publish_to_shopify` | Publish a completed task to a Shopify store |
 | `publish_to_meta` | Create a Meta Ads campaign from a task (always created PAUSED) |
 
+## Multiple photos per product
+
+Creative tools accept an `images` array of **1–5 photos of the same product**. The first entry is the hero; the rest are alternate angles. Don't mix different products in one call — that's a separate task each time.
+
+Each entry uses `{ "url": "https://..." }` (preferred — public HTTPS) or `{ "base64": "..." }` (only for local files <500 KB; clients truncate large arguments).
+
+## Downloading results
+
+`get_task_status` returns short-lived (1 h) `mcp.productmaker.app/assets/...` URLs for every image and video. They stream R2 content through the MCP origin so clients with strict allowlists (claude.ai web, ChatGPT) can fetch them. Markdown image URLs auto-render in every major MCP client; videos are clickable download links.
+
 ## Environment variables
 
 | Var | Default | Required for |
@@ -48,6 +58,8 @@ Header: `Authorization: Bearer pm_live_...`
 | `PM_API_KEY` | — | stdio (required) |
 | `PM_API_URL` | `https://api.productmaker.app` | both |
 | `PORT` | `8080` | http only |
+| `MCP_PROXY_BASE_URL` | `https://mcp.productmaker.app` | http only |
+| `PM_PROXY_SECRET` | — | http only (32+ chars; enables asset proxy) |
 
 ## Support
 

package/dist/http.js

@@ -4,6 +4,8 @@ var __name = (target, value) => __defProp(target, "name", { value, configurable:
 // src/http.ts
 import express from "express";
 import rateLimit from "express-rate-limit";
+import { Readable } from "stream";
+import { pipeline } from "stream/promises";
 import { StreamableHTTPServerTransport } from "@modelcontextprotocol/sdk/server/streamableHttp.js";
 
 // src/server.ts
@@ -73,13 +75,18 @@ var ApiClient = class {
   }
   async postMultipart(path, files, fields) {
     const form = new FormData();
-    for (const [name, file] of Object.entries(files)) {
-      const blob = new Blob([
-        new Uint8Array(file.buffer)
-      ], {
-        type: file.mimetype
-      });
-      form.append(name, blob, file.filename);
+    for (const [name, value] of Object.entries(files)) {
+      const parts = Array.isArray(value) ? value : [
+        value
+      ];
+      for (const file of parts) {
+        const blob = new Blob([
+          new Uint8Array(file.buffer)
+        ], {
+          type: file.mimetype
+        });
+        form.append(name, blob, file.filename);
+      }
     }
     for (const [k, v] of Object.entries(fields)) {
       if (v !== void 0) form.append(k, v);
@@ -112,6 +119,7 @@ var MCP_VERSION = "0.1.0";
 import { z as z2 } from "zod";
 
 // src/resolve-image.ts
+import { lookup as dnsLookup } from "dns/promises";
 var MAX_BYTES = 20 * 1024 * 1024;
 var ALLOWED = /* @__PURE__ */ new Set([
   "image/jpeg",
@@ -146,11 +154,53 @@ function isPrivateHost(host) {
   if (/^172\.(1[6-9]|2\d|3[0-1])\./.test(host)) return true;
   if (host.startsWith("169.254.")) return true;
   if (host === "[::1]" || host === "::1") return true;
+  if (/^\[?0*:(?:0*:){6}0*1\]?$/i.test(host)) return true;
+  const ipv4Mapped = host.match(/^\[?::ffff:([0-9a-f.:]+)\]?$/i);
+  if (ipv4Mapped && ipv4Mapped[1]) {
+    const inner = ipv4Mapped[1];
+    if (inner.includes(".")) return isPrivateHost(inner);
+    const parts = inner.split(":").map((h) => parseInt(h, 16));
+    if (parts.length === 2 && parts.every((n) => !Number.isNaN(n))) {
+      const bytes = [
+        parts[0] >> 8,
+        parts[0] & 255,
+        parts[1] >> 8,
+        parts[1] & 255
+      ];
+      return isPrivateHost(bytes.join("."));
+    }
+  }
   if (/^\[?f[cd][0-9a-f]{2}:/i.test(host)) return true;
   if (/^\[?fe[89ab][0-9a-f]:/i.test(host)) return true;
   return false;
 }
 __name(isPrivateHost, "isPrivateHost");
+async function assertHostResolvesPublic(hostname) {
+  let records;
+  try {
+    records = await dnsLookup(hostname, {
+      all: true
+    });
+  } catch {
+    if (process.env.NODE_ENV === "test" || process.env.VITEST) return;
+    throw new ResolveImageError("INVALID_INPUT", `imageUrl DNS lookup failed for ${hostname}`);
+  }
+  for (const { address } of records) {
+    if (isPrivateHost(address)) {
+      throw new ResolveImageError("INVALID_INPUT", `imageUrl host resolves to a private address (${address})`);
+    }
+  }
+}
+__name(assertHostResolvesPublic, "assertHostResolvesPublic");
+async function resolveImages(images) {
+  if (!images.length) throw new ResolveImageError("INVALID_INPUT", "images: at least one entry required");
+  if (images.length > 5) throw new ResolveImageError("INVALID_INPUT", "images: max 5 per request");
+  return Promise.all(images.map((ref) => resolveImage({
+    imageUrl: ref.url,
+    imageBase64: ref.base64
+  })));
+}
+__name(resolveImages, "resolveImages");
 async function resolveImage(input) {
   if (input.imageUrl && input.imageBase64) {
     throw new ResolveImageError("INVALID_INPUT", "Provide only one of imageUrl or imageBase64");
@@ -164,6 +214,7 @@ async function resolveImage(input) {
     }
     if (u.protocol !== "https:") throw new ResolveImageError("INVALID_INPUT", "imageUrl must be HTTPS");
     if (isPrivateHost(u.hostname)) throw new ResolveImageError("INVALID_INPUT", "imageUrl host not allowed");
+    await assertHostResolvesPublic(u.hostname);
     let res;
     try {
       res = await fetch(input.imageUrl, {
@@ -360,7 +411,39 @@ var VideoModelEnum = z.enum([
   "grok",
   "kling"
 ]);
+var ImageCreativeStyleEnum = z.enum([
+  "studio",
+  "floating",
+  "ingredients",
+  "in_use"
+]);
+var ImageCreativeArchetypeEnum = z.enum([
+  "direct_response_product_ad",
+  "hero_outcome",
+  "offer_value_prop",
+  "social_proof_trust",
+  "product_clarity",
+  "problem_solution",
+  "lifestyle_identity"
+]);
+var ImageCreativeVisualTreatmentEnum = z.enum([
+  "performance_product_ad",
+  "premium_dtc_carousel"
+]);
+var ImageCreativeAspectRatioEnum = z.enum([
+  "1:1",
+  "4:5",
+  "9:16",
+  "16:9"
+]);
 var ImageBase64 = z.string().max(75e5);
+var ImageRefSchema = z.object({
+  url: z.string().url().optional().describe("URL p\xFAblica HTTPS de la foto."),
+  base64: ImageBase64.optional().describe("Bytes de la foto en base64 (sin prefijo data:). \xDAsalo SOLO para archivos locales <500 KB.")
+}).refine((v) => Boolean(v.url) !== Boolean(v.base64), {
+  message: "each image entry must have exactly one of `url` or `base64`"
+});
+var ImagesInput = z.array(ImageRefSchema).min(1).max(5).describe("1 a 5 fotos del MISMO producto. La PRIMERA es la principal (hero); las dem\xE1s son \xE1ngulos adicionales. Cada entrada usa `url` (preferido \u2014 p\xFAblico HTTPS) o `base64` (solo para archivos locales <500 KB; clientes MCP truncan argumentos >1 MB). PREFIERE siempre `url` si el usuario te dio una. NO mezcles productos distintos en una sola llamada.");
 function asText(value) {
   return {
     content: [
@@ -384,16 +467,14 @@ function flatten(obj) {
 }
 __name(flatten, "flatten");
 async function submitCreative(api, opts) {
-  const { imageUrl, imageBase64, ...rest } = opts.input;
-  const img = await resolveImage({
-    imageUrl,
-    imageBase64
-  });
+  const { images, ...rest } = opts.input;
+  const resolved = await resolveImages(images);
+  const parts = resolved.map((img, i) => ({
+    ...img,
+    filename: `image-${i}.png`
+  }));
   const r = await api.postMultipart(opts.path, {
-    [opts.fileField]: {
-      ...img,
-      filename: "image.png"
-    }
+    images: parts
   }, flatten(rest));
   return asText({
     taskId: r.taskId,
@@ -403,8 +484,135 @@ async function submitCreative(api, opts) {
 }
 __name(submitCreative, "submitCreative");
 
+// src/asset-proxy.ts
+import { createHmac, timingSafeEqual } from "crypto";
+var TOKEN_TTL_SECONDS = 3600;
+var NO_SECRET = "";
+function b64url(buf) {
+  return buf.toString("base64url");
+}
+__name(b64url, "b64url");
+function fromB64url(s) {
+  return Buffer.from(s, "base64url");
+}
+__name(fromB64url, "fromB64url");
+var ALLOWED_PROXY_HOSTS = /\.r2\.cloudflarestorage\.com$/i;
+function isAllowedProxyTarget(rawUrl) {
+  try {
+    const u = new URL(rawUrl);
+    if (u.protocol !== "https:") return false;
+    return ALLOWED_PROXY_HOSTS.test(u.hostname);
+  } catch {
+    return false;
+  }
+}
+__name(isAllowedProxyTarget, "isAllowedProxyTarget");
+function getProxySecret() {
+  const s = process.env.PM_PROXY_SECRET ?? NO_SECRET;
+  return s.length >= 32 ? s : NO_SECRET;
+}
+__name(getProxySecret, "getProxySecret");
+function isProxyEnabled() {
+  return getProxySecret().length >= 32;
+}
+__name(isProxyEnabled, "isProxyEnabled");
+var FILENAME_SAFE = /[^a-zA-Z0-9._-]+/g;
+function sanitizeContentDispositionFilename(name) {
+  return name.replace(FILENAME_SAFE, "_").slice(0, 96) || "asset";
+}
+__name(sanitizeContentDispositionFilename, "sanitizeContentDispositionFilename");
+function mintToken(payload, secret = getProxySecret()) {
+  if (secret.length < 32) throw new Error("PM_PROXY_SECRET too short");
+  if (!isAllowedProxyTarget(payload.url)) throw new Error("asset URL is outside the proxy allowlist");
+  const body = {
+    url: payload.url,
+    name: payload.name,
+    exp: Math.floor(Date.now() / 1e3) + TOKEN_TTL_SECONDS
+  };
+  const json = Buffer.from(JSON.stringify(body), "utf8");
+  const sig = createHmac("sha256", secret).update(json).digest();
+  return `${b64url(json)}.${b64url(sig)}`;
+}
+__name(mintToken, "mintToken");
+function verifyToken(token, secret = getProxySecret()) {
+  if (secret.length < 32) return null;
+  const parts = token.split(".");
+  if (parts.length !== 2) return null;
+  let json;
+  let sig;
+  try {
+    json = fromB64url(parts[0]);
+    sig = fromB64url(parts[1]);
+  } catch {
+    return null;
+  }
+  const expected = createHmac("sha256", secret).update(json).digest();
+  if (expected.length !== sig.length) return null;
+  if (!timingSafeEqual(expected, sig)) return null;
+  let raw;
+  try {
+    raw = JSON.parse(json.toString("utf8"));
+  } catch {
+    return null;
+  }
+  if (!isAssetPayload(raw)) return null;
+  if (raw.exp < Math.floor(Date.now() / 1e3)) return null;
+  return raw;
+}
+__name(verifyToken, "verifyToken");
+function isAssetPayload(v) {
+  if (!v || typeof v !== "object") return false;
+  const o = v;
+  return typeof o.url === "string" && typeof o.name === "string" && typeof o.exp === "number";
+}
+__name(isAssetPayload, "isAssetPayload");
+function buildProxyUrl(opts) {
+  const secret = getProxySecret();
+  if (!opts.proxyBaseUrl || !secret) return null;
+  if (!isAllowedProxyTarget(opts.r2Url)) return null;
+  const token = mintToken({
+    url: opts.r2Url,
+    name: opts.filename
+  }, secret);
+  return `${opts.proxyBaseUrl.replace(/\/+$/, "")}/assets/${token}/${encodeURIComponent(opts.filename)}`;
+}
+__name(buildProxyUrl, "buildProxyUrl");
+
 // src/tools/task-outputs.ts
 var WEBAPP_BASE = "https://productmaker.app";
+function proxifyOutputs(outputs, proxyBaseUrl) {
+  if (!proxyBaseUrl || !isProxyEnabled()) return outputs;
+  const rewrite = /* @__PURE__ */ __name((url, filename) => buildProxyUrl({
+    r2Url: url,
+    filename,
+    proxyBaseUrl
+  }) ?? url, "rewrite");
+  return {
+    webappUrl: outputs.webappUrl,
+    images: outputs.images.map((img, i) => ({
+      ...img,
+      url: rewrite(img.url, `image-${i}.png`)
+    })),
+    landing: {
+      sections: outputs.landing.sections.map((s) => ({
+        ...s,
+        url: rewrite(s.url, `landing-${sanitizeFilename(s.role)}.png`)
+      }))
+    },
+    videos: outputs.videos.map((v) => ({
+      ...v,
+      variants: v.variants.map((variant) => ({
+        ...variant,
+        url: rewrite(variant.url, `video-${sanitizeFilename(v.angleKey)}-${sanitizeFilename(variant.kind)}.mp4`)
+      }))
+    }))
+  };
+}
+__name(proxifyOutputs, "proxifyOutputs");
+function sanitizeFilename(s) {
+  return s.replace(/[^a-zA-Z0-9._-]+/g, "_").slice(0, 64) || "asset";
+}
+__name(sanitizeFilename, "sanitizeFilename");
 async function fetchTaskOutputs(api, taskId) {
   const raw = await api.getJson(`/v1/results/${encodeURIComponent(taskId)}?signedUrls=true`);
   const videos = (raw.videoGenerators ?? []).map((vg) => {
@@ -450,7 +658,7 @@ async function fetchTaskOutputs(api, taskId) {
 }
 __name(fetchTaskOutputs, "fetchTaskOutputs");
 function escapeMdLabel(s) {
-  return s.replace(/[\[\]()]/g, "");
+  return s.replace(/[\[\]\(\)\{\}`<>\r\n\\]/g, " ").replace(/\s+/g, " ").trim();
 }
 __name(escapeMdLabel, "escapeMdLabel");
 function renderOutputsMarkdown(outputs) {
@@ -479,13 +687,12 @@ __name(renderOutputsMarkdown, "renderOutputsMarkdown");
 
 // src/tools/tasks.ts
 var CreateProductTaskInput = z2.object({
-  imageUrl: z2.string().url().optional().describe("URL p\xFAblica de la foto del producto. Provee este O imageBase64 (uno solo). Requerido si no se pasa imageBase64."),
-  imageBase64: ImageBase64.optional().describe("Imagen del producto en base64 (sin prefijo data:). Provee este O imageUrl (uno solo)."),
+  images: ImagesInput,
   productUrl: z2.string().url().optional().describe("Opcional. URL de la p\xE1gina del producto (Shopify, AliExpress, Amazon, etc.) para enriquecer el contexto. Si se omite, la IA infiere todo desde la imagen."),
-  language: Lang.describe('C\xF3digo de idioma para el contenido generado. Ejemplos: "es" (espa\xF1ol), "en" (ingl\xE9s), "pt" (portugu\xE9s). Si el usuario no lo especific\xF3, preg\xFAntale o usa "es" como default LATAM.'),
-  country: Country.describe('C\xF3digo ISO del pa\xEDs objetivo. Ejemplos: "CO" (Colombia), "MX" (M\xE9xico), "US" (Estados Unidos), "AR" (Argentina). Define moneda, m\xE9todos de pago locales y tono. Si el usuario no lo especific\xF3, preg\xFAntale.'),
-  price: z2.string().optional().describe('Opcional. Precio que se mostrar\xE1 en la landing y video. Cualquier formato libre \u2014 ej. "$89.900", "USD 29.99", "MXN 599". Si se omite, la IA sugiere uno basado en producto+pa\xEDs.'),
-  offer: z2.string().optional().describe('Opcional. Oferta o promoci\xF3n a destacar. Ej. "2x1", "Env\xEDo gratis hoy", "50% OFF por lanzamiento". Si se omite, la IA decide si a\xF1adir una.'),
+  language: Lang.describe('C\xF3digo de idioma para el contenido generado. Ejemplos: "es", "en", "pt". REQUERIDO \u2014 si el usuario no lo especific\xF3, PREG\xDANTALE antes de invocar. NUNCA infieras desde el contexto del chat ni asumas "es" por default.'),
+  country: Country.describe('C\xF3digo ISO del pa\xEDs objetivo. Ejemplos: "CO", "MX", "US", "AR". Define moneda, m\xE9todos de pago locales y tono. REQUERIDO \u2014 si el usuario no lo especific\xF3, PREG\xDANTALE antes de invocar. NUNCA infieras desde el contexto del chat.'),
+  price: z2.string().optional().describe('Precio que se mostrar\xE1 en la landing y video. Formato libre \u2014 ej. "$89.900", "USD 29.99", "MXN 599". Opcional pero MUY IMPACTANTE: si el usuario no lo mencion\xF3, PREG\xDANTALE antes de invocar. Si te dice "t\xFA elige", om\xEDtelo y el backend sugiere uno.'),
+  offer: z2.string().optional().describe('Oferta o promoci\xF3n a destacar. Ej. "2x1", "Env\xEDo gratis hoy", "50% OFF". Opcional pero MUY IMPACTANTE: si el usuario no lo mencion\xF3, PREG\xDANTALE antes de invocar (es v\xE1lido que diga "sin oferta"). Si te dice "t\xFA elige", om\xEDtelo.'),
   videoStyle: VideoStyleEnum.optional().describe('Opcional. Estilo visual del video. "ugc" = creador hablando a c\xE1mara (default, mejor CTR LATAM). "cartoon_3d" = animaci\xF3n 3D. "product_only" = sin actor. "ai_dynamic" = cinematogr\xE1fico AI. Si se omite, default "ugc".'),
   narrativeStyle: NarrativeStyleEnum.optional().describe('Opcional. Estructura narrativa. "review" = testimonial (default, alta conversi\xF3n). "problem_product_cta" = problema\u2192soluci\xF3n. "product_showcase" = features. "metaphor_product_cta" = met\xE1fora visual. "wearable_showcase" = para ropa/accesorios. Si se omite, default "review".'),
   videoModel: VideoModelEnum.optional().describe('Opcional. Modelo de video. "veo" (default, calidad Google). "bytedance"/"seedance" = TikTok-style. "kling"/"wan" = alternativos. "infinitalk" = lipsync largo. "grok" = grok-imagine. Si se omite, el sistema escoge seg\xFAn costo/calidad.'),
@@ -519,10 +726,14 @@ var EditTaskDraftInput = z2.object({
     scriptNotes: z2.string().max(2e3).optional()
   })
 });
-function registerTaskTools(server, api) {
-  server.tool("create_product_task", 'Crea una tarea de producto desde una imagen. Por defecto genera los 3 outputs (landing + video + image creatives). Devuelve un taskId.\n\nINPUTS REQUERIDOS: imageUrl o imageBase64 (uno solo), language, country.\n\nINPUTS OPCIONALES (TODOS los de abajo se pueden omitir \u2014 si el usuario no los mencion\xF3, PREG\xDANTALE primero si quiere personalizar precio/oferta/estilo, o llama la tool sin ellos y la IA elige defaults sensatos):\n- price, offer (texto libre del precio y promoci\xF3n)\n- videoStyle, narrativeStyle, videoModel (enums \u2014 ver descripci\xF3n de cada campo para valores v\xE1lidos)\n- multiAngleVideos (booleano \u2014 generar varios \xE1ngulos en paralelo)\n- outputs (subconjunto de {landing,video,image})\n- productUrl (URL del producto en Shopify/AliExpress/etc.)\n\nNUNCA inventes valores fuera de los enums declarados. Si el usuario pide algo no soportado (ej. "estilo anime"), preg\xFAntale por una opci\xF3n v\xE1lida.', CreateProductTaskInput.shape, async (input) => {
+function registerTaskTools(server, api, proxyBaseUrl = null) {
+  server.tool("create_product_task", 'Crea una tarea de producto desde una o varias fotos. Por defecto genera los 3 outputs (landing + video + image creatives). Devuelve un taskId.\n\nINPUTS REQUERIDOS: images (1-5 fotos del MISMO producto; la primera es la hero), language, country.\n\nANTES de invocar, PREG\xDANTALE al usuario por price y offer si no los mencion\xF3 \u2014 son los inputs de mayor impacto en conversi\xF3n y nunca debes asumirlos. NO defaultes country/language desde el contexto del chat: preg\xFAntale expl\xEDcitamente, incluso si el usuario est\xE1 en LATAM. Si te dice "t\xFA elige" para price/offer, om\xEDtelos.\n\nSi el usuario tiene varias fotos del MISMO producto (frente, lateral, detalle, uso), incl\xFAyelas todas en images[] hasta 5. Si tiene fotos de productos DIFERENTES, son llamadas separadas (una tarea por producto).\n\nOTROS OPCIONALES (puedes invocar sin ellos y dejar que la IA elija defaults sensatos):\n- videoStyle, narrativeStyle, videoModel (enums \u2014 ver descripci\xF3n de cada campo)\n- multiAngleVideos (booleano)\n- outputs (subconjunto de {landing,video,image})\n- productUrl\n\nUsa SOLO valores declarados en los enums. Si el usuario pide algo no soportado (ej. "estilo anime"), p\xEDdele una opci\xF3n v\xE1lida.', CreateProductTaskInput.shape, async (input) => {
     try {
-      const img = await resolveImage(input);
+      const imgs = await resolveImages(input.images);
+      const parts = imgs.map((img, i) => ({
+        ...img,
+        filename: `image-${i}.png`
+      }));
       const fields = flatten({
         "options.languageCode": input.language,
         "options.country": input.country,
@@ -536,10 +747,7 @@ function registerTaskTools(server, api) {
         url: input.productUrl
       });
       const r = await api.postMultipart("/v1/ingest", {
-        image: {
-          ...img,
-          filename: "image.png"
-        }
+        images: parts
       }, fields);
       return asText({
         taskId: r.taskId,
@@ -557,7 +765,8 @@ function registerTaskTools(server, api) {
       const snapshot = await pollStatus(fetcher, input.waitSeconds ?? 0, signal);
       if (snapshot.status !== "done") return asText(snapshot);
       try {
-        const outputs = await fetchTaskOutputs(api, input.taskId);
+        const rawOutputs = await fetchTaskOutputs(api, input.taskId);
+        const outputs = proxifyOutputs(rawOutputs, proxyBaseUrl);
         return {
           content: [
             {
@@ -611,21 +820,21 @@ __name(registerTaskTools, "registerTaskTools");
 
 // src/tools/creatives.ts
 import { z as z3 } from "zod";
-var ImageInputRefs = {
-  imageUrl: z3.string().url().optional().describe("URL p\xFAblica de la foto del producto. Provee este O imageBase64 (uno solo)."),
-  imageBase64: ImageBase64.optional().describe("Imagen del producto en base64 (sin prefijo data:). Provee este O imageUrl (uno solo)."),
-  language: Lang.describe('Idioma del contenido. Ej. "es", "en", "pt". Si el usuario no lo dijo, preg\xFAntale.'),
-  country: Country.describe('Pa\xEDs objetivo ISO. Ej. "CO", "MX", "US", "AR". Define moneda y tono. Si el usuario no lo dijo, preg\xFAntale.'),
-  price: z3.string().optional().describe('Opcional. Precio en formato libre \u2014 ej. "$89.900", "USD 29.99". Om\xEDtelo y la IA sugiere uno.'),
-  offer: z3.string().optional().describe('Opcional. Oferta a destacar \u2014 ej. "2x1", "Env\xEDo gratis", "50% OFF".')
+var CreativeRefs = {
+  images: ImagesInput,
+  language: Lang.describe('Idioma del contenido. Ej. "es", "en", "pt". REQUERIDO \u2014 si el usuario no lo dijo, PREG\xDANTALE antes de invocar. NUNCA infieras desde el contexto del chat ni asumas un default.'),
+  country: Country.describe('Pa\xEDs objetivo ISO. Ej. "CO", "MX", "US", "AR". Define moneda, m\xE9todos de pago y tono. REQUERIDO \u2014 si el usuario no lo dijo, PREG\xDANTALE antes de invocar. NUNCA infieras desde el contexto del chat ni asumas un default.'),
+  price: z3.string().optional().describe('Precio en formato libre \u2014 ej. "$89.900", "USD 29.99". Opcional pero MUY IMPACTANTE para conversi\xF3n: si el usuario no lo mencion\xF3, PREG\xDANTALE antes de invocar. Si el usuario te dice "t\xFA elige", omite el campo y la IA del backend sugiere uno.'),
+  offer: z3.string().optional().describe('Oferta a destacar \u2014 ej. "2x1", "Env\xEDo gratis", "50% OFF". Opcional pero MUY IMPACTANTE: si el usuario no lo mencion\xF3, PREG\xDANTALE antes de invocar (es v\xE1lido que diga "sin oferta"). Si el usuario te dice "t\xFA elige", omite el campo.'),
+  buyerPersona: z3.string().optional().describe('Opcional. Descripci\xF3n del comprador objetivo. Ej. "Mujeres 35-50, profesionales urbanas". Si se omite, la IA infiere desde el \xE1ngulo y producto.'),
+  isCombo: z3.boolean().optional().describe("Opcional. Si true, el creativo presenta el producto como combo/pack. Default false.")
 };
 var VideoInput = z3.object({
-  imageUrl: ImageInputRefs.imageUrl,
-  imageBase64: ImageInputRefs.imageBase64,
+  images: CreativeRefs.images,
   title: z3.string().min(1).describe('T\xEDtulo corto del producto. Aparece en la primera vista del video. Ej. "Crema Anti-Edad Premium".'),
   primaryAngle: z3.string().min(1).describe('\xC1ngulo de venta principal (frase del beneficio). Ej. "Reduce arrugas en 14 d\xEDas" o "Para quienes odian las cremas grasosas".'),
-  language: ImageInputRefs.language,
-  country: ImageInputRefs.country,
+  language: CreativeRefs.language,
+  country: CreativeRefs.country,
   aspectRatio: z3.enum([
     "9:16",
     "16:9",
@@ -636,45 +845,54 @@ var VideoInput = z3.object({
   videoStyle: VideoStyleEnum.optional().describe('Opcional. Estilo visual. "ugc" (creador hablando, default), "cartoon_3d", "product_only", "ai_dynamic".'),
   videoModel: VideoModelEnum.optional().describe('Opcional. Modelo de video. "veo" (default, calidad Google). Ver lista de valores v\xE1lidos.'),
   features: z3.array(z3.string()).optional().describe('Opcional. Lista de features/beneficios clave a mencionar. Ej. ["resistente al agua", "bater\xEDa 24h", "carga inal\xE1mbrica"].'),
-  price: ImageInputRefs.price,
-  offer: ImageInputRefs.offer,
+  price: CreativeRefs.price,
+  offer: CreativeRefs.offer,
   cta: z3.string().optional().describe('Opcional. Call-to-action final del video. Ej. "Compra ahora", "Pide el tuyo hoy", "Link en bio". Si se omite, la IA escribe uno.'),
   scriptNotes: z3.string().optional().describe('Opcional. Notas/restricciones para el guion. Ej. "No mencionar la marca X", "Tono divertido, no cl\xEDnico".')
 });
+var imageStyleList = ImageCreativeStyleEnum.options.join(" | ");
+var archetypeList = ImageCreativeArchetypeEnum.options.join(" | ");
+var visualTreatmentList = ImageCreativeVisualTreatmentEnum.options.join(" | ");
+var aspectRatioList = ImageCreativeAspectRatioEnum.options.join(" | ");
 var ImageInput = z3.object({
-  imageUrl: ImageInputRefs.imageUrl,
-  imageBase64: ImageInputRefs.imageBase64,
+  images: CreativeRefs.images,
   productTitle: z3.string().min(1).describe('Nombre del producto. Ej. "Crema Anti-Edad Premium".'),
   primaryAngle: z3.string().min(1).describe('\xC1ngulo de venta principal. Ej. "Reduce arrugas en 14 d\xEDas".'),
-  language: ImageInputRefs.language,
-  country: ImageInputRefs.country,
+  buyerPersona: CreativeRefs.buyerPersona,
+  language: CreativeRefs.language,
+  country: CreativeRefs.country,
   nVariants: z3.number().int().min(1).max(6).optional().describe("Opcional. N\xFAmero de variantes a generar (1-6). Default 3."),
   imageModel: z3.string().optional().describe('Opcional. Modelo de imagen. Ej. "gpt-image-2", "nano-banana-2". Om\xEDtelo para usar el default optimizado por costo/calidad.'),
-  imageStyle: z3.string().optional().describe('Opcional. Estilo visual libre. Ej. "minimalista fondo blanco", "lifestyle outdoor", "ne\xF3n cyberpunk".'),
+  imageStyle: ImageCreativeStyleEnum.optional().describe(`Opcional. Estilo del shot del producto. Valores: ${imageStyleList}. Si se omite, la IA escoge seg\xFAn el archetype.`),
+  creativeArchetype: ImageCreativeArchetypeEnum.optional().describe(`Opcional. Arquetipo CRO de la composici\xF3n. Valores: ${archetypeList}. Si se omite, la IA escoge seg\xFAn \xE1ngulo+oferta (ej. "offer_value_prop" cuando hay descuento, "social_proof_trust" cuando el \xE1ngulo es testimonial).`),
+  visualTreatment: ImageCreativeVisualTreatmentEnum.optional().describe(`Opcional. Tratamiento gr\xE1fico. Valores: ${visualTreatmentList} ("performance_product_ad" = dealer-style alto CTR para Meta/TikTok ads; "premium_dtc_carousel" = fotograf\xEDa limpia estilo Allbirds/Glossier). Si se omite, la IA escoge.`),
+  styleMix: z3.boolean().optional().describe("Opcional. Si true, las N variantes mezclan distintos imageStyle para A/B test. Si false/omitido, todas comparten estilo. Default false."),
+  aspectRatio: ImageCreativeAspectRatioEnum.optional().describe(`Opcional. Relaci\xF3n de aspecto. Valores: ${aspectRatioList}. Default "4:5" (vertical Instagram feed).`),
   generateAdCopy: z3.boolean().optional().describe("Opcional. Si true, tambi\xE9n genera headline/body/CTA para el ad. Default false."),
+  pauseForAngleReview: z3.boolean().optional().describe("Opcional. Si true, pausa despu\xE9s de generar el \xE1ngulo y antes de las im\xE1genes para que el usuario edite v\xEDa edit_task_draft. Default false."),
   features: z3.array(z3.string()).optional().describe('Opcional. Features/beneficios a destacar visualmente. Ej. ["resistente al agua", "ultra liviano"].'),
   brandColors: z3.array(z3.string()).optional().describe('Opcional. Paleta de marca en hex. Ej. ["#FF6B35", "#004E89"]. Si se omite, la IA elige seg\xFAn el producto.'),
-  price: ImageInputRefs.price,
-  offer: ImageInputRefs.offer
+  price: CreativeRefs.price,
+  compareAtPrice: z3.string().optional().describe('Opcional. Precio "antes" de la oferta \u2014 solo para im\xE1genes con descuento. Ej. "$129.000" cuando price="$89.900". \xDAtil con creativeArchetype="offer_value_prop".'),
+  offer: CreativeRefs.offer,
+  isCombo: CreativeRefs.isCombo
 });
 var LandingInput = z3.object({
-  imageUrl: ImageInputRefs.imageUrl,
-  imageBase64: ImageInputRefs.imageBase64,
-  language: ImageInputRefs.language,
-  country: ImageInputRefs.country,
+  images: CreativeRefs.images,
+  language: CreativeRefs.language,
+  country: CreativeRefs.country,
   salesAngle: z3.string().optional().describe('Opcional. \xC1ngulo de venta principal. Ej. "Reduce arrugas en 14 d\xEDas". Si se omite, la IA lo deduce de la imagen.'),
-  buyerPersona: z3.string().optional().describe('Opcional. Descripci\xF3n del comprador objetivo. Ej. "Mujeres 35-50, profesionales urbanas". Si se omite, la IA infiere.'),
-  price: ImageInputRefs.price,
-  offer: ImageInputRefs.offer,
+  buyerPersona: CreativeRefs.buyerPersona,
+  price: CreativeRefs.price,
+  offer: CreativeRefs.offer,
   paymentMethods: z3.string().optional().describe('Opcional. M\xE9todos de pago a mostrar (lista libre). Ej. "Tarjeta, PSE, Nequi, Contraentrega". Si se omite, la IA usa los m\xE1s comunes del pa\xEDs.'),
-  isCombo: z3.boolean().optional().describe("Opcional. Si true, la landing presenta el producto como combo/pack. Default false.")
+  isCombo: CreativeRefs.isCombo
 });
 function registerCreativeTools(server, api) {
-  server.tool("generate_video_creative", "Genera UN video creativo independiente. Devuelve un taskId.\n\nREQUERIDOS: imageUrl o imageBase64, title, primaryAngle, language, country, aspectRatio.\n\nOPCIONALES (si el usuario no los mencion\xF3, PREG\xDANTALE antes de llamar \u2014 o invoca sin ellos y la IA decide): durationSeconds, narrativeStyle, videoStyle, videoModel (enums \u2014 usa SOLO valores declarados), features, price, offer, cta, scriptNotes.\n\nNo inventes valores fuera de los enums; si el usuario pide algo no soportado, p\xEDdele una opci\xF3n v\xE1lida.", VideoInput.shape, async (input) => {
+  server.tool("generate_video_creative", 'Genera UN video creativo independiente. Devuelve un taskId.\n\nREQUERIDOS: images (array de 1-5 fotos), title, primaryAngle, language, country, aspectRatio.\n\nANTES de invocar, PREG\xDANTALE al usuario por price y offer si no los mencion\xF3 \u2014 son los inputs de mayor impacto en conversi\xF3n y nunca debes asumirlos. NO defaultes country/language desde el contexto: preg\xFAntale expl\xEDcitamente. Si el usuario te dice "t\xFA elige" para price/offer, om\xEDtelos.\n\nOTROS OPCIONALES (puedes invocar sin ellos y dejar que la IA elija defaults sensatos): durationSeconds, narrativeStyle, videoStyle, videoModel, features, cta, scriptNotes.\n\nUsa SOLO valores declarados en los enums. Si el usuario pide algo no soportado, p\xEDdele una opci\xF3n v\xE1lida.', VideoInput.shape, async (input) => {
     try {
       return await submitCreative(api, {
         path: "/v1/creatives/videos",
-        fileField: "media",
         estimatedSeconds: 300,
         input
       });
@@ -682,11 +900,10 @@ function registerCreativeTools(server, api) {
       throw translateError(e);
     }
   });
-  server.tool("generate_image_creatives", "Genera N variantes de imagen creativa (ads est\xE1ticos). Devuelve un taskId.\n\nREQUERIDOS: imageUrl o imageBase64, productTitle, primaryAngle, language, country.\n\nOPCIONALES (si el usuario no los mencion\xF3, PREG\xDANTALE \u2014 o invoca sin ellos y la IA decide): nVariants (default 3), imageModel, imageStyle (texto libre), generateAdCopy, features, brandColors (hex), price, offer.", ImageInput.shape, async (input) => {
+  server.tool("generate_image_creatives", 'Genera N variantes de imagen creativa (ads est\xE1ticos). Devuelve un taskId.\n\nREQUERIDOS: images (array de 1-5 fotos), productTitle, primaryAngle, language, country.\n\nANTES de invocar, PREG\xDANTALE al usuario:\n- price y offer (se renderizan en la imagen \u2014 nunca los asumas; si dice "t\xFA elige", om\xEDtelos).\n- compareAtPrice si hay descuento (ej. "$129.000" para tachar).\n- creativeArchetype y visualTreatment si quiere un look espec\xEDfico (performance vs premium DTC). Si no le importa, om\xEDtelos.\n\nNO defaultes country/language desde el contexto: preg\xFAntale expl\xEDcitamente.\n\nOTROS OPCIONALES: buyerPersona, nVariants (default 3), imageModel, imageStyle, styleMix, aspectRatio (default 4:5), generateAdCopy, pauseForAngleReview, features, brandColors, isCombo.', ImageInput.shape, async (input) => {
     try {
       return await submitCreative(api, {
         path: "/v1/creatives/images",
-        fileField: "image",
         estimatedSeconds: 60,
         input
       });
@@ -694,11 +911,10 @@ function registerCreativeTools(server, api) {
       throw translateError(e);
     }
   });
-  server.tool("generate_landing", "Genera una landing page lista para Shopify. Devuelve un taskId.\n\nREQUERIDOS: imageUrl o imageBase64, language, country.\n\nOPCIONALES (si el usuario no los mencion\xF3, PREG\xDANTALE primero por price/offer/paymentMethods \u2014 son los m\xE1s impactantes para conversi\xF3n \u2014 o invoca sin ellos y la IA elige): salesAngle, buyerPersona, price, offer, paymentMethods (texto libre con m\xE9todos locales del pa\xEDs), isCombo.", LandingInput.shape, async (input) => {
+  server.tool("generate_landing", 'Genera una landing page lista para Shopify. Devuelve un taskId.\n\nREQUERIDOS: images (array de 1-5 fotos), language, country.\n\nANTES de invocar, PREG\xDANTALE al usuario por price, offer y paymentMethods si no los mencion\xF3 \u2014 son los inputs de mayor impacto en conversi\xF3n y nunca debes asumirlos. NO defaultes country/language desde el contexto: preg\xFAntale expl\xEDcitamente. Si el usuario te dice "t\xFA elige" para esos campos, om\xEDtelos.\n\nOTROS OPCIONALES (puedes invocar sin ellos y dejar que la IA elija defaults): salesAngle, buyerPersona, isCombo.', LandingInput.shape, async (input) => {
     try {
       return await submitCreative(api, {
         path: "/v1/creatives/landing",
-        fileField: "image",
         estimatedSeconds: 60,
         input
       });
@@ -782,7 +998,7 @@ function registerPublishTools(server, api) {
 __name(registerPublishTools, "registerPublishTools");
 
 // src/server.ts
-function createServer(apiKey, apiBaseUrl) {
+function createServer(apiKey, apiBaseUrl, proxyBaseUrl = null) {
   const server = new McpServer({
     name: "productmaker",
     version: MCP_VERSION
@@ -795,7 +1011,7 @@ function createServer(apiKey, apiBaseUrl) {
     }
   });
   const api = new ApiClient(apiBaseUrl, apiKey);
-  registerTaskTools(server, api);
+  registerTaskTools(server, api, proxyBaseUrl);
   registerCreativeTools(server, api);
   registerConnectionTools(server, api);
   registerPublishTools(server, api);
@@ -804,21 +1020,21 @@ function createServer(apiKey, apiBaseUrl) {
 __name(createServer, "createServer");
 
 // src/validate-api-url.ts
-function assertSafeApiBaseUrl(url) {
+function assertSafePublicBaseUrl(envName, url) {
   let u;
   try {
     u = new URL(url);
   } catch {
-    throw new Error(`PM_API_URL is not a valid URL: ${url}`);
+    throw new Error(`${envName} is not a valid URL: ${url}`);
   }
   if (u.protocol !== "https:") {
-    throw new Error(`PM_API_URL must use https (got ${u.protocol})`);
+    throw new Error(`${envName} must use https (got ${u.protocol})`);
   }
   if (isPrivateHost(u.hostname)) {
-    throw new Error(`PM_API_URL must not point to a private/loopback host: ${u.hostname}`);
+    throw new Error(`${envName} must not point to a private/loopback host: ${u.hostname}`);
   }
 }
-__name(assertSafeApiBaseUrl, "assertSafeApiBaseUrl");
+__name(assertSafePublicBaseUrl, "assertSafePublicBaseUrl");
 
 // src/http.ts
 var PM_API_KEY_PREFIX = "pm_live_";
@@ -847,6 +1063,73 @@ function extractApiKey(req) {
   return null;
 }
 __name(extractApiKey, "extractApiKey");
+var PROXY_FETCH_TIMEOUT_MS = 3e4;
+var INLINE_RENDERABLE_MIMES = /* @__PURE__ */ new Set([
+  "image/jpeg",
+  "image/png",
+  "image/webp",
+  "video/mp4"
+]);
+async function handleAsset(req, res) {
+  if (!getProxySecret()) {
+    res.status(503).json({
+      error: "Proxy disabled"
+    });
+    return;
+  }
+  const token = req.params.token;
+  if (typeof token !== "string" || !token) {
+    res.status(404).end();
+    return;
+  }
+  const payload = verifyToken(token);
+  if (!payload || !isAllowedProxyTarget(payload.url)) {
+    res.status(404).end();
+    return;
+  }
+  let upstream;
+  try {
+    upstream = await fetch(payload.url, {
+      signal: AbortSignal.timeout(PROXY_FETCH_TIMEOUT_MS),
+      redirect: "error"
+    });
+  } catch (err) {
+    process.stderr.write(`mcp asset proxy fetch failed: ${String(err)}
+`);
+    res.status(502).json({
+      error: "Upstream fetch failed"
+    });
+    return;
+  }
+  if (!upstream.ok) {
+    res.status(upstream.status === 404 ? 404 : 502).json({
+      error: `Upstream HTTP ${upstream.status}`
+    });
+    return;
+  }
+  const rawCt = upstream.headers.get("content-type") ?? "application/octet-stream";
+  const ct = rawCt.split(";")[0]?.trim() ?? "application/octet-stream";
+  const cl = upstream.headers.get("content-length");
+  const disposition = INLINE_RENDERABLE_MIMES.has(ct) ? "inline" : "attachment";
+  res.status(200);
+  res.setHeader("Content-Type", ct);
+  if (cl) res.setHeader("Content-Length", cl);
+  res.setHeader("Cache-Control", "private, max-age=300");
+  res.setHeader("Content-Disposition", `${disposition}; filename="${sanitizeContentDispositionFilename(payload.name)}"`);
+  res.setHeader("X-Content-Type-Options", "nosniff");
+  if (!upstream.body) {
+    res.end();
+    return;
+  }
+  try {
+    await pipeline(Readable.fromWeb(upstream.body), res);
+  } catch (err) {
+    process.stderr.write(`mcp asset proxy stream failed: ${String(err)}
+`);
+    if (!res.writableEnded) res.end();
+  }
+}
+__name(handleAsset, "handleAsset");
 function createApp(opts) {
   const app = express();
   app.set("trust proxy", 1);
@@ -878,6 +1161,12 @@ function createApp(opts) {
       ok: true
     });
   });
+  app.get("/assets/:token/:filename?", rateLimit({
+    windowMs: 6e4,
+    max: 600,
+    standardHeaders: true,
+    legacyHeaders: false
+  }), handleAsset);
   app.post("/mcp", async (req, res) => {
     const apiKey = extractApiKey(req);
     if (!apiKey) {
@@ -887,7 +1176,7 @@ function createApp(opts) {
       return;
     }
     try {
-      const server = createServer(apiKey, opts.apiBaseUrl);
+      const server = createServer(apiKey, opts.apiBaseUrl, opts.proxyBaseUrl ?? null);
       const transport = new StreamableHTTPServerTransport({
         sessionIdGenerator: void 0
       });
@@ -907,15 +1196,24 @@ __name(createApp, "createApp");
 if (process.env.MCP_HTTP_AUTOSTART !== "false") {
   const port = Number(process.env.PORT ?? 8080);
   const apiBaseUrl = process.env.PM_API_URL ?? "https://api.productmaker.app";
+  const proxyBaseUrl = process.env.MCP_PROXY_BASE_URL ?? "https://mcp.productmaker.app";
+  try {
+    assertSafePublicBaseUrl("PM_API_URL", apiBaseUrl);
+  } catch (e) {
+    process.stderr.write(`${e.message}
+`);
+    process.exit(1);
+  }
   try {
-    assertSafeApiBaseUrl(apiBaseUrl);
+    assertSafePublicBaseUrl("MCP_PROXY_BASE_URL", proxyBaseUrl);
   } catch (e) {
     process.stderr.write(`${e.message}
 `);
     process.exit(1);
   }
   createApp({
-    apiBaseUrl
+    apiBaseUrl,
+    proxyBaseUrl
   }).listen(port, () => {
     process.stdout.write(`mcp http listening on ${port}
 `);

package/dist/stdio.js

@@ -72,13 +72,18 @@ var ApiClient = class {
   }
   async postMultipart(path, files, fields) {
     const form = new FormData();
-    for (const [name, file] of Object.entries(files)) {
-      const blob = new Blob([
-        new Uint8Array(file.buffer)
-      ], {
-        type: file.mimetype
-      });
-      form.append(name, blob, file.filename);
+    for (const [name, value] of Object.entries(files)) {
+      const parts = Array.isArray(value) ? value : [
+        value
+      ];
+      for (const file of parts) {
+        const blob = new Blob([
+          new Uint8Array(file.buffer)
+        ], {
+          type: file.mimetype
+        });
+        form.append(name, blob, file.filename);
+      }
     }
     for (const [k, v] of Object.entries(fields)) {
       if (v !== void 0) form.append(k, v);
@@ -111,6 +116,7 @@ var MCP_VERSION = "0.1.0";
 import { z as z2 } from "zod";
 
 // src/resolve-image.ts
+import { lookup as dnsLookup } from "dns/promises";
 var MAX_BYTES = 20 * 1024 * 1024;
 var ALLOWED = /* @__PURE__ */ new Set([
   "image/jpeg",
@@ -145,11 +151,53 @@ function isPrivateHost(host) {
   if (/^172\.(1[6-9]|2\d|3[0-1])\./.test(host)) return true;
   if (host.startsWith("169.254.")) return true;
   if (host === "[::1]" || host === "::1") return true;
+  if (/^\[?0*:(?:0*:){6}0*1\]?$/i.test(host)) return true;
+  const ipv4Mapped = host.match(/^\[?::ffff:([0-9a-f.:]+)\]?$/i);
+  if (ipv4Mapped && ipv4Mapped[1]) {
+    const inner = ipv4Mapped[1];
+    if (inner.includes(".")) return isPrivateHost(inner);
+    const parts = inner.split(":").map((h) => parseInt(h, 16));
+    if (parts.length === 2 && parts.every((n) => !Number.isNaN(n))) {
+      const bytes = [
+        parts[0] >> 8,
+        parts[0] & 255,
+        parts[1] >> 8,
+        parts[1] & 255
+      ];
+      return isPrivateHost(bytes.join("."));
+    }
+  }
   if (/^\[?f[cd][0-9a-f]{2}:/i.test(host)) return true;
   if (/^\[?fe[89ab][0-9a-f]:/i.test(host)) return true;
   return false;
 }
 __name(isPrivateHost, "isPrivateHost");
+async function assertHostResolvesPublic(hostname) {
+  let records;
+  try {
+    records = await dnsLookup(hostname, {
+      all: true
+    });
+  } catch {
+    if (process.env.NODE_ENV === "test" || process.env.VITEST) return;
+    throw new ResolveImageError("INVALID_INPUT", `imageUrl DNS lookup failed for ${hostname}`);
+  }
+  for (const { address } of records) {
+    if (isPrivateHost(address)) {
+      throw new ResolveImageError("INVALID_INPUT", `imageUrl host resolves to a private address (${address})`);
+    }
+  }
+}
+__name(assertHostResolvesPublic, "assertHostResolvesPublic");
+async function resolveImages(images) {
+  if (!images.length) throw new ResolveImageError("INVALID_INPUT", "images: at least one entry required");
+  if (images.length > 5) throw new ResolveImageError("INVALID_INPUT", "images: max 5 per request");
+  return Promise.all(images.map((ref) => resolveImage({
+    imageUrl: ref.url,
+    imageBase64: ref.base64
+  })));
+}
+__name(resolveImages, "resolveImages");
 async function resolveImage(input) {
   if (input.imageUrl && input.imageBase64) {
     throw new ResolveImageError("INVALID_INPUT", "Provide only one of imageUrl or imageBase64");
@@ -163,6 +211,7 @@ async function resolveImage(input) {
     }
     if (u.protocol !== "https:") throw new ResolveImageError("INVALID_INPUT", "imageUrl must be HTTPS");
     if (isPrivateHost(u.hostname)) throw new ResolveImageError("INVALID_INPUT", "imageUrl host not allowed");
+    await assertHostResolvesPublic(u.hostname);
     let res;
     try {
       res = await fetch(input.imageUrl, {
@@ -359,7 +408,39 @@ var VideoModelEnum = z.enum([
   "grok",
   "kling"
 ]);
+var ImageCreativeStyleEnum = z.enum([
+  "studio",
+  "floating",
+  "ingredients",
+  "in_use"
+]);
+var ImageCreativeArchetypeEnum = z.enum([
+  "direct_response_product_ad",
+  "hero_outcome",
+  "offer_value_prop",
+  "social_proof_trust",
+  "product_clarity",
+  "problem_solution",
+  "lifestyle_identity"
+]);
+var ImageCreativeVisualTreatmentEnum = z.enum([
+  "performance_product_ad",
+  "premium_dtc_carousel"
+]);
+var ImageCreativeAspectRatioEnum = z.enum([
+  "1:1",
+  "4:5",
+  "9:16",
+  "16:9"
+]);
 var ImageBase64 = z.string().max(75e5);
+var ImageRefSchema = z.object({
+  url: z.string().url().optional().describe("URL p\xFAblica HTTPS de la foto."),
+  base64: ImageBase64.optional().describe("Bytes de la foto en base64 (sin prefijo data:). \xDAsalo SOLO para archivos locales <500 KB.")
+}).refine((v) => Boolean(v.url) !== Boolean(v.base64), {
+  message: "each image entry must have exactly one of `url` or `base64`"
+});
+var ImagesInput = z.array(ImageRefSchema).min(1).max(5).describe("1 a 5 fotos del MISMO producto. La PRIMERA es la principal (hero); las dem\xE1s son \xE1ngulos adicionales. Cada entrada usa `url` (preferido \u2014 p\xFAblico HTTPS) o `base64` (solo para archivos locales <500 KB; clientes MCP truncan argumentos >1 MB). PREFIERE siempre `url` si el usuario te dio una. NO mezcles productos distintos en una sola llamada.");
 function asText(value) {
   return {
     content: [
@@ -383,16 +464,14 @@ function flatten(obj) {
 }
 __name(flatten, "flatten");
 async function submitCreative(api, opts) {
-  const { imageUrl, imageBase64, ...rest } = opts.input;
-  const img = await resolveImage({
-    imageUrl,
-    imageBase64
-  });
+  const { images, ...rest } = opts.input;
+  const resolved = await resolveImages(images);
+  const parts = resolved.map((img, i) => ({
+    ...img,
+    filename: `image-${i}.png`
+  }));
   const r = await api.postMultipart(opts.path, {
-    [opts.fileField]: {
-      ...img,
-      filename: "image.png"
-    }
+    images: parts
   }, flatten(rest));
   return asText({
     taskId: r.taskId,
@@ -402,8 +481,94 @@ async function submitCreative(api, opts) {
 }
 __name(submitCreative, "submitCreative");
 
+// src/asset-proxy.ts
+import { createHmac, timingSafeEqual } from "crypto";
+var TOKEN_TTL_SECONDS = 3600;
+var NO_SECRET = "";
+function b64url(buf) {
+  return buf.toString("base64url");
+}
+__name(b64url, "b64url");
+var ALLOWED_PROXY_HOSTS = /\.r2\.cloudflarestorage\.com$/i;
+function isAllowedProxyTarget(rawUrl) {
+  try {
+    const u = new URL(rawUrl);
+    if (u.protocol !== "https:") return false;
+    return ALLOWED_PROXY_HOSTS.test(u.hostname);
+  } catch {
+    return false;
+  }
+}
+__name(isAllowedProxyTarget, "isAllowedProxyTarget");
+function getProxySecret() {
+  const s = process.env.PM_PROXY_SECRET ?? NO_SECRET;
+  return s.length >= 32 ? s : NO_SECRET;
+}
+__name(getProxySecret, "getProxySecret");
+function isProxyEnabled() {
+  return getProxySecret().length >= 32;
+}
+__name(isProxyEnabled, "isProxyEnabled");
+function mintToken(payload, secret = getProxySecret()) {
+  if (secret.length < 32) throw new Error("PM_PROXY_SECRET too short");
+  if (!isAllowedProxyTarget(payload.url)) throw new Error("asset URL is outside the proxy allowlist");
+  const body = {
+    url: payload.url,
+    name: payload.name,
+    exp: Math.floor(Date.now() / 1e3) + TOKEN_TTL_SECONDS
+  };
+  const json = Buffer.from(JSON.stringify(body), "utf8");
+  const sig = createHmac("sha256", secret).update(json).digest();
+  return `${b64url(json)}.${b64url(sig)}`;
+}
+__name(mintToken, "mintToken");
+function buildProxyUrl(opts) {
+  const secret = getProxySecret();
+  if (!opts.proxyBaseUrl || !secret) return null;
+  if (!isAllowedProxyTarget(opts.r2Url)) return null;
+  const token = mintToken({
+    url: opts.r2Url,
+    name: opts.filename
+  }, secret);
+  return `${opts.proxyBaseUrl.replace(/\/+$/, "")}/assets/${token}/${encodeURIComponent(opts.filename)}`;
+}
+__name(buildProxyUrl, "buildProxyUrl");
+
 // src/tools/task-outputs.ts
 var WEBAPP_BASE = "https://productmaker.app";
+function proxifyOutputs(outputs, proxyBaseUrl) {
+  if (!proxyBaseUrl || !isProxyEnabled()) return outputs;
+  const rewrite = /* @__PURE__ */ __name((url, filename) => buildProxyUrl({
+    r2Url: url,
+    filename,
+    proxyBaseUrl
+  }) ?? url, "rewrite");
+  return {
+    webappUrl: outputs.webappUrl,
+    images: outputs.images.map((img, i) => ({
+      ...img,
+      url: rewrite(img.url, `image-${i}.png`)
+    })),
+    landing: {
+      sections: outputs.landing.sections.map((s) => ({
+        ...s,
+        url: rewrite(s.url, `landing-${sanitizeFilename(s.role)}.png`)
+      }))
+    },
+    videos: outputs.videos.map((v) => ({
+      ...v,
+      variants: v.variants.map((variant) => ({
+        ...variant,
+        url: rewrite(variant.url, `video-${sanitizeFilename(v.angleKey)}-${sanitizeFilename(variant.kind)}.mp4`)
+      }))
+    }))
+  };
+}
+__name(proxifyOutputs, "proxifyOutputs");
+function sanitizeFilename(s) {
+  return s.replace(/[^a-zA-Z0-9._-]+/g, "_").slice(0, 64) || "asset";
+}
+__name(sanitizeFilename, "sanitizeFilename");
 async function fetchTaskOutputs(api, taskId) {
   const raw = await api.getJson(`/v1/results/${encodeURIComponent(taskId)}?signedUrls=true`);
   const videos = (raw.videoGenerators ?? []).map((vg) => {
@@ -449,7 +614,7 @@ async function fetchTaskOutputs(api, taskId) {
 }
 __name(fetchTaskOutputs, "fetchTaskOutputs");
 function escapeMdLabel(s) {
-  return s.replace(/[\[\]()]/g, "");
+  return s.replace(/[\[\]\(\)\{\}`<>\r\n\\]/g, " ").replace(/\s+/g, " ").trim();
 }
 __name(escapeMdLabel, "escapeMdLabel");
 function renderOutputsMarkdown(outputs) {
@@ -478,13 +643,12 @@ __name(renderOutputsMarkdown, "renderOutputsMarkdown");
 
 // src/tools/tasks.ts
 var CreateProductTaskInput = z2.object({
-  imageUrl: z2.string().url().optional().describe("URL p\xFAblica de la foto del producto. Provee este O imageBase64 (uno solo). Requerido si no se pasa imageBase64."),
-  imageBase64: ImageBase64.optional().describe("Imagen del producto en base64 (sin prefijo data:). Provee este O imageUrl (uno solo)."),
+  images: ImagesInput,
   productUrl: z2.string().url().optional().describe("Opcional. URL de la p\xE1gina del producto (Shopify, AliExpress, Amazon, etc.) para enriquecer el contexto. Si se omite, la IA infiere todo desde la imagen."),
-  language: Lang.describe('C\xF3digo de idioma para el contenido generado. Ejemplos: "es" (espa\xF1ol), "en" (ingl\xE9s), "pt" (portugu\xE9s). Si el usuario no lo especific\xF3, preg\xFAntale o usa "es" como default LATAM.'),
-  country: Country.describe('C\xF3digo ISO del pa\xEDs objetivo. Ejemplos: "CO" (Colombia), "MX" (M\xE9xico), "US" (Estados Unidos), "AR" (Argentina). Define moneda, m\xE9todos de pago locales y tono. Si el usuario no lo especific\xF3, preg\xFAntale.'),
-  price: z2.string().optional().describe('Opcional. Precio que se mostrar\xE1 en la landing y video. Cualquier formato libre \u2014 ej. "$89.900", "USD 29.99", "MXN 599". Si se omite, la IA sugiere uno basado en producto+pa\xEDs.'),
-  offer: z2.string().optional().describe('Opcional. Oferta o promoci\xF3n a destacar. Ej. "2x1", "Env\xEDo gratis hoy", "50% OFF por lanzamiento". Si se omite, la IA decide si a\xF1adir una.'),
+  language: Lang.describe('C\xF3digo de idioma para el contenido generado. Ejemplos: "es", "en", "pt". REQUERIDO \u2014 si el usuario no lo especific\xF3, PREG\xDANTALE antes de invocar. NUNCA infieras desde el contexto del chat ni asumas "es" por default.'),
+  country: Country.describe('C\xF3digo ISO del pa\xEDs objetivo. Ejemplos: "CO", "MX", "US", "AR". Define moneda, m\xE9todos de pago locales y tono. REQUERIDO \u2014 si el usuario no lo especific\xF3, PREG\xDANTALE antes de invocar. NUNCA infieras desde el contexto del chat.'),
+  price: z2.string().optional().describe('Precio que se mostrar\xE1 en la landing y video. Formato libre \u2014 ej. "$89.900", "USD 29.99", "MXN 599". Opcional pero MUY IMPACTANTE: si el usuario no lo mencion\xF3, PREG\xDANTALE antes de invocar. Si te dice "t\xFA elige", om\xEDtelo y el backend sugiere uno.'),
+  offer: z2.string().optional().describe('Oferta o promoci\xF3n a destacar. Ej. "2x1", "Env\xEDo gratis hoy", "50% OFF". Opcional pero MUY IMPACTANTE: si el usuario no lo mencion\xF3, PREG\xDANTALE antes de invocar (es v\xE1lido que diga "sin oferta"). Si te dice "t\xFA elige", om\xEDtelo.'),
   videoStyle: VideoStyleEnum.optional().describe('Opcional. Estilo visual del video. "ugc" = creador hablando a c\xE1mara (default, mejor CTR LATAM). "cartoon_3d" = animaci\xF3n 3D. "product_only" = sin actor. "ai_dynamic" = cinematogr\xE1fico AI. Si se omite, default "ugc".'),
   narrativeStyle: NarrativeStyleEnum.optional().describe('Opcional. Estructura narrativa. "review" = testimonial (default, alta conversi\xF3n). "problem_product_cta" = problema\u2192soluci\xF3n. "product_showcase" = features. "metaphor_product_cta" = met\xE1fora visual. "wearable_showcase" = para ropa/accesorios. Si se omite, default "review".'),
   videoModel: VideoModelEnum.optional().describe('Opcional. Modelo de video. "veo" (default, calidad Google). "bytedance"/"seedance" = TikTok-style. "kling"/"wan" = alternativos. "infinitalk" = lipsync largo. "grok" = grok-imagine. Si se omite, el sistema escoge seg\xFAn costo/calidad.'),
@@ -518,10 +682,14 @@ var EditTaskDraftInput = z2.object({
     scriptNotes: z2.string().max(2e3).optional()
   })
 });
-function registerTaskTools(server, api) {
-  server.tool("create_product_task", 'Crea una tarea de producto desde una imagen. Por defecto genera los 3 outputs (landing + video + image creatives). Devuelve un taskId.\n\nINPUTS REQUERIDOS: imageUrl o imageBase64 (uno solo), language, country.\n\nINPUTS OPCIONALES (TODOS los de abajo se pueden omitir \u2014 si el usuario no los mencion\xF3, PREG\xDANTALE primero si quiere personalizar precio/oferta/estilo, o llama la tool sin ellos y la IA elige defaults sensatos):\n- price, offer (texto libre del precio y promoci\xF3n)\n- videoStyle, narrativeStyle, videoModel (enums \u2014 ver descripci\xF3n de cada campo para valores v\xE1lidos)\n- multiAngleVideos (booleano \u2014 generar varios \xE1ngulos en paralelo)\n- outputs (subconjunto de {landing,video,image})\n- productUrl (URL del producto en Shopify/AliExpress/etc.)\n\nNUNCA inventes valores fuera de los enums declarados. Si el usuario pide algo no soportado (ej. "estilo anime"), preg\xFAntale por una opci\xF3n v\xE1lida.', CreateProductTaskInput.shape, async (input) => {
+function registerTaskTools(server, api, proxyBaseUrl = null) {
+  server.tool("create_product_task", 'Crea una tarea de producto desde una o varias fotos. Por defecto genera los 3 outputs (landing + video + image creatives). Devuelve un taskId.\n\nINPUTS REQUERIDOS: images (1-5 fotos del MISMO producto; la primera es la hero), language, country.\n\nANTES de invocar, PREG\xDANTALE al usuario por price y offer si no los mencion\xF3 \u2014 son los inputs de mayor impacto en conversi\xF3n y nunca debes asumirlos. NO defaultes country/language desde el contexto del chat: preg\xFAntale expl\xEDcitamente, incluso si el usuario est\xE1 en LATAM. Si te dice "t\xFA elige" para price/offer, om\xEDtelos.\n\nSi el usuario tiene varias fotos del MISMO producto (frente, lateral, detalle, uso), incl\xFAyelas todas en images[] hasta 5. Si tiene fotos de productos DIFERENTES, son llamadas separadas (una tarea por producto).\n\nOTROS OPCIONALES (puedes invocar sin ellos y dejar que la IA elija defaults sensatos):\n- videoStyle, narrativeStyle, videoModel (enums \u2014 ver descripci\xF3n de cada campo)\n- multiAngleVideos (booleano)\n- outputs (subconjunto de {landing,video,image})\n- productUrl\n\nUsa SOLO valores declarados en los enums. Si el usuario pide algo no soportado (ej. "estilo anime"), p\xEDdele una opci\xF3n v\xE1lida.', CreateProductTaskInput.shape, async (input) => {
     try {
-      const img = await resolveImage(input);
+      const imgs = await resolveImages(input.images);
+      const parts = imgs.map((img, i) => ({
+        ...img,
+        filename: `image-${i}.png`
+      }));
       const fields = flatten({
         "options.languageCode": input.language,
         "options.country": input.country,
@@ -535,10 +703,7 @@ function registerTaskTools(server, api) {
         url: input.productUrl
       });
       const r = await api.postMultipart("/v1/ingest", {
-        image: {
-          ...img,
-          filename: "image.png"
-        }
+        images: parts
       }, fields);
       return asText({
         taskId: r.taskId,
@@ -556,7 +721,8 @@ function registerTaskTools(server, api) {
       const snapshot = await pollStatus(fetcher, input.waitSeconds ?? 0, signal);
       if (snapshot.status !== "done") return asText(snapshot);
       try {
-        const outputs = await fetchTaskOutputs(api, input.taskId);
+        const rawOutputs = await fetchTaskOutputs(api, input.taskId);
+        const outputs = proxifyOutputs(rawOutputs, proxyBaseUrl);
         return {
           content: [
             {
@@ -610,21 +776,21 @@ __name(registerTaskTools, "registerTaskTools");
 
 // src/tools/creatives.ts
 import { z as z3 } from "zod";
-var ImageInputRefs = {
-  imageUrl: z3.string().url().optional().describe("URL p\xFAblica de la foto del producto. Provee este O imageBase64 (uno solo)."),
-  imageBase64: ImageBase64.optional().describe("Imagen del producto en base64 (sin prefijo data:). Provee este O imageUrl (uno solo)."),
-  language: Lang.describe('Idioma del contenido. Ej. "es", "en", "pt". Si el usuario no lo dijo, preg\xFAntale.'),
-  country: Country.describe('Pa\xEDs objetivo ISO. Ej. "CO", "MX", "US", "AR". Define moneda y tono. Si el usuario no lo dijo, preg\xFAntale.'),
-  price: z3.string().optional().describe('Opcional. Precio en formato libre \u2014 ej. "$89.900", "USD 29.99". Om\xEDtelo y la IA sugiere uno.'),
-  offer: z3.string().optional().describe('Opcional. Oferta a destacar \u2014 ej. "2x1", "Env\xEDo gratis", "50% OFF".')
+var CreativeRefs = {
+  images: ImagesInput,
+  language: Lang.describe('Idioma del contenido. Ej. "es", "en", "pt". REQUERIDO \u2014 si el usuario no lo dijo, PREG\xDANTALE antes de invocar. NUNCA infieras desde el contexto del chat ni asumas un default.'),
+  country: Country.describe('Pa\xEDs objetivo ISO. Ej. "CO", "MX", "US", "AR". Define moneda, m\xE9todos de pago y tono. REQUERIDO \u2014 si el usuario no lo dijo, PREG\xDANTALE antes de invocar. NUNCA infieras desde el contexto del chat ni asumas un default.'),
+  price: z3.string().optional().describe('Precio en formato libre \u2014 ej. "$89.900", "USD 29.99". Opcional pero MUY IMPACTANTE para conversi\xF3n: si el usuario no lo mencion\xF3, PREG\xDANTALE antes de invocar. Si el usuario te dice "t\xFA elige", omite el campo y la IA del backend sugiere uno.'),
+  offer: z3.string().optional().describe('Oferta a destacar \u2014 ej. "2x1", "Env\xEDo gratis", "50% OFF". Opcional pero MUY IMPACTANTE: si el usuario no lo mencion\xF3, PREG\xDANTALE antes de invocar (es v\xE1lido que diga "sin oferta"). Si el usuario te dice "t\xFA elige", omite el campo.'),
+  buyerPersona: z3.string().optional().describe('Opcional. Descripci\xF3n del comprador objetivo. Ej. "Mujeres 35-50, profesionales urbanas". Si se omite, la IA infiere desde el \xE1ngulo y producto.'),
+  isCombo: z3.boolean().optional().describe("Opcional. Si true, el creativo presenta el producto como combo/pack. Default false.")
 };
 var VideoInput = z3.object({
-  imageUrl: ImageInputRefs.imageUrl,
-  imageBase64: ImageInputRefs.imageBase64,
+  images: CreativeRefs.images,
   title: z3.string().min(1).describe('T\xEDtulo corto del producto. Aparece en la primera vista del video. Ej. "Crema Anti-Edad Premium".'),
   primaryAngle: z3.string().min(1).describe('\xC1ngulo de venta principal (frase del beneficio). Ej. "Reduce arrugas en 14 d\xEDas" o "Para quienes odian las cremas grasosas".'),
-  language: ImageInputRefs.language,
-  country: ImageInputRefs.country,
+  language: CreativeRefs.language,
+  country: CreativeRefs.country,
   aspectRatio: z3.enum([
     "9:16",
     "16:9",
@@ -635,45 +801,54 @@ var VideoInput = z3.object({
   videoStyle: VideoStyleEnum.optional().describe('Opcional. Estilo visual. "ugc" (creador hablando, default), "cartoon_3d", "product_only", "ai_dynamic".'),
   videoModel: VideoModelEnum.optional().describe('Opcional. Modelo de video. "veo" (default, calidad Google). Ver lista de valores v\xE1lidos.'),
   features: z3.array(z3.string()).optional().describe('Opcional. Lista de features/beneficios clave a mencionar. Ej. ["resistente al agua", "bater\xEDa 24h", "carga inal\xE1mbrica"].'),
-  price: ImageInputRefs.price,
-  offer: ImageInputRefs.offer,
+  price: CreativeRefs.price,
+  offer: CreativeRefs.offer,
   cta: z3.string().optional().describe('Opcional. Call-to-action final del video. Ej. "Compra ahora", "Pide el tuyo hoy", "Link en bio". Si se omite, la IA escribe uno.'),
   scriptNotes: z3.string().optional().describe('Opcional. Notas/restricciones para el guion. Ej. "No mencionar la marca X", "Tono divertido, no cl\xEDnico".')
 });
+var imageStyleList = ImageCreativeStyleEnum.options.join(" | ");
+var archetypeList = ImageCreativeArchetypeEnum.options.join(" | ");
+var visualTreatmentList = ImageCreativeVisualTreatmentEnum.options.join(" | ");
+var aspectRatioList = ImageCreativeAspectRatioEnum.options.join(" | ");
 var ImageInput = z3.object({
-  imageUrl: ImageInputRefs.imageUrl,
-  imageBase64: ImageInputRefs.imageBase64,
+  images: CreativeRefs.images,
   productTitle: z3.string().min(1).describe('Nombre del producto. Ej. "Crema Anti-Edad Premium".'),
   primaryAngle: z3.string().min(1).describe('\xC1ngulo de venta principal. Ej. "Reduce arrugas en 14 d\xEDas".'),
-  language: ImageInputRefs.language,
-  country: ImageInputRefs.country,
+  buyerPersona: CreativeRefs.buyerPersona,
+  language: CreativeRefs.language,
+  country: CreativeRefs.country,
   nVariants: z3.number().int().min(1).max(6).optional().describe("Opcional. N\xFAmero de variantes a generar (1-6). Default 3."),
   imageModel: z3.string().optional().describe('Opcional. Modelo de imagen. Ej. "gpt-image-2", "nano-banana-2". Om\xEDtelo para usar el default optimizado por costo/calidad.'),
-  imageStyle: z3.string().optional().describe('Opcional. Estilo visual libre. Ej. "minimalista fondo blanco", "lifestyle outdoor", "ne\xF3n cyberpunk".'),
+  imageStyle: ImageCreativeStyleEnum.optional().describe(`Opcional. Estilo del shot del producto. Valores: ${imageStyleList}. Si se omite, la IA escoge seg\xFAn el archetype.`),
+  creativeArchetype: ImageCreativeArchetypeEnum.optional().describe(`Opcional. Arquetipo CRO de la composici\xF3n. Valores: ${archetypeList}. Si se omite, la IA escoge seg\xFAn \xE1ngulo+oferta (ej. "offer_value_prop" cuando hay descuento, "social_proof_trust" cuando el \xE1ngulo es testimonial).`),
+  visualTreatment: ImageCreativeVisualTreatmentEnum.optional().describe(`Opcional. Tratamiento gr\xE1fico. Valores: ${visualTreatmentList} ("performance_product_ad" = dealer-style alto CTR para Meta/TikTok ads; "premium_dtc_carousel" = fotograf\xEDa limpia estilo Allbirds/Glossier). Si se omite, la IA escoge.`),
+  styleMix: z3.boolean().optional().describe("Opcional. Si true, las N variantes mezclan distintos imageStyle para A/B test. Si false/omitido, todas comparten estilo. Default false."),
+  aspectRatio: ImageCreativeAspectRatioEnum.optional().describe(`Opcional. Relaci\xF3n de aspecto. Valores: ${aspectRatioList}. Default "4:5" (vertical Instagram feed).`),
   generateAdCopy: z3.boolean().optional().describe("Opcional. Si true, tambi\xE9n genera headline/body/CTA para el ad. Default false."),
+  pauseForAngleReview: z3.boolean().optional().describe("Opcional. Si true, pausa despu\xE9s de generar el \xE1ngulo y antes de las im\xE1genes para que el usuario edite v\xEDa edit_task_draft. Default false."),
   features: z3.array(z3.string()).optional().describe('Opcional. Features/beneficios a destacar visualmente. Ej. ["resistente al agua", "ultra liviano"].'),
   brandColors: z3.array(z3.string()).optional().describe('Opcional. Paleta de marca en hex. Ej. ["#FF6B35", "#004E89"]. Si se omite, la IA elige seg\xFAn el producto.'),
-  price: ImageInputRefs.price,
-  offer: ImageInputRefs.offer
+  price: CreativeRefs.price,
+  compareAtPrice: z3.string().optional().describe('Opcional. Precio "antes" de la oferta \u2014 solo para im\xE1genes con descuento. Ej. "$129.000" cuando price="$89.900". \xDAtil con creativeArchetype="offer_value_prop".'),
+  offer: CreativeRefs.offer,
+  isCombo: CreativeRefs.isCombo
 });
 var LandingInput = z3.object({
-  imageUrl: ImageInputRefs.imageUrl,
-  imageBase64: ImageInputRefs.imageBase64,
-  language: ImageInputRefs.language,
-  country: ImageInputRefs.country,
+  images: CreativeRefs.images,
+  language: CreativeRefs.language,
+  country: CreativeRefs.country,
   salesAngle: z3.string().optional().describe('Opcional. \xC1ngulo de venta principal. Ej. "Reduce arrugas en 14 d\xEDas". Si se omite, la IA lo deduce de la imagen.'),
-  buyerPersona: z3.string().optional().describe('Opcional. Descripci\xF3n del comprador objetivo. Ej. "Mujeres 35-50, profesionales urbanas". Si se omite, la IA infiere.'),
-  price: ImageInputRefs.price,
-  offer: ImageInputRefs.offer,
+  buyerPersona: CreativeRefs.buyerPersona,
+  price: CreativeRefs.price,
+  offer: CreativeRefs.offer,
   paymentMethods: z3.string().optional().describe('Opcional. M\xE9todos de pago a mostrar (lista libre). Ej. "Tarjeta, PSE, Nequi, Contraentrega". Si se omite, la IA usa los m\xE1s comunes del pa\xEDs.'),
-  isCombo: z3.boolean().optional().describe("Opcional. Si true, la landing presenta el producto como combo/pack. Default false.")
+  isCombo: CreativeRefs.isCombo
 });
 function registerCreativeTools(server, api) {
-  server.tool("generate_video_creative", "Genera UN video creativo independiente. Devuelve un taskId.\n\nREQUERIDOS: imageUrl o imageBase64, title, primaryAngle, language, country, aspectRatio.\n\nOPCIONALES (si el usuario no los mencion\xF3, PREG\xDANTALE antes de llamar \u2014 o invoca sin ellos y la IA decide): durationSeconds, narrativeStyle, videoStyle, videoModel (enums \u2014 usa SOLO valores declarados), features, price, offer, cta, scriptNotes.\n\nNo inventes valores fuera de los enums; si el usuario pide algo no soportado, p\xEDdele una opci\xF3n v\xE1lida.", VideoInput.shape, async (input) => {
+  server.tool("generate_video_creative", 'Genera UN video creativo independiente. Devuelve un taskId.\n\nREQUERIDOS: images (array de 1-5 fotos), title, primaryAngle, language, country, aspectRatio.\n\nANTES de invocar, PREG\xDANTALE al usuario por price y offer si no los mencion\xF3 \u2014 son los inputs de mayor impacto en conversi\xF3n y nunca debes asumirlos. NO defaultes country/language desde el contexto: preg\xFAntale expl\xEDcitamente. Si el usuario te dice "t\xFA elige" para price/offer, om\xEDtelos.\n\nOTROS OPCIONALES (puedes invocar sin ellos y dejar que la IA elija defaults sensatos): durationSeconds, narrativeStyle, videoStyle, videoModel, features, cta, scriptNotes.\n\nUsa SOLO valores declarados en los enums. Si el usuario pide algo no soportado, p\xEDdele una opci\xF3n v\xE1lida.', VideoInput.shape, async (input) => {
     try {
       return await submitCreative(api, {
         path: "/v1/creatives/videos",
-        fileField: "media",
         estimatedSeconds: 300,
         input
       });
@@ -681,11 +856,10 @@ function registerCreativeTools(server, api) {
       throw translateError(e);
     }
   });
-  server.tool("generate_image_creatives", "Genera N variantes de imagen creativa (ads est\xE1ticos). Devuelve un taskId.\n\nREQUERIDOS: imageUrl o imageBase64, productTitle, primaryAngle, language, country.\n\nOPCIONALES (si el usuario no los mencion\xF3, PREG\xDANTALE \u2014 o invoca sin ellos y la IA decide): nVariants (default 3), imageModel, imageStyle (texto libre), generateAdCopy, features, brandColors (hex), price, offer.", ImageInput.shape, async (input) => {
+  server.tool("generate_image_creatives", 'Genera N variantes de imagen creativa (ads est\xE1ticos). Devuelve un taskId.\n\nREQUERIDOS: images (array de 1-5 fotos), productTitle, primaryAngle, language, country.\n\nANTES de invocar, PREG\xDANTALE al usuario:\n- price y offer (se renderizan en la imagen \u2014 nunca los asumas; si dice "t\xFA elige", om\xEDtelos).\n- compareAtPrice si hay descuento (ej. "$129.000" para tachar).\n- creativeArchetype y visualTreatment si quiere un look espec\xEDfico (performance vs premium DTC). Si no le importa, om\xEDtelos.\n\nNO defaultes country/language desde el contexto: preg\xFAntale expl\xEDcitamente.\n\nOTROS OPCIONALES: buyerPersona, nVariants (default 3), imageModel, imageStyle, styleMix, aspectRatio (default 4:5), generateAdCopy, pauseForAngleReview, features, brandColors, isCombo.', ImageInput.shape, async (input) => {
     try {
       return await submitCreative(api, {
         path: "/v1/creatives/images",
-        fileField: "image",
         estimatedSeconds: 60,
         input
       });
@@ -693,11 +867,10 @@ function registerCreativeTools(server, api) {
       throw translateError(e);
     }
   });
-  server.tool("generate_landing", "Genera una landing page lista para Shopify. Devuelve un taskId.\n\nREQUERIDOS: imageUrl o imageBase64, language, country.\n\nOPCIONALES (si el usuario no los mencion\xF3, PREG\xDANTALE primero por price/offer/paymentMethods \u2014 son los m\xE1s impactantes para conversi\xF3n \u2014 o invoca sin ellos y la IA elige): salesAngle, buyerPersona, price, offer, paymentMethods (texto libre con m\xE9todos locales del pa\xEDs), isCombo.", LandingInput.shape, async (input) => {
+  server.tool("generate_landing", 'Genera una landing page lista para Shopify. Devuelve un taskId.\n\nREQUERIDOS: images (array de 1-5 fotos), language, country.\n\nANTES de invocar, PREG\xDANTALE al usuario por price, offer y paymentMethods si no los mencion\xF3 \u2014 son los inputs de mayor impacto en conversi\xF3n y nunca debes asumirlos. NO defaultes country/language desde el contexto: preg\xFAntale expl\xEDcitamente. Si el usuario te dice "t\xFA elige" para esos campos, om\xEDtelos.\n\nOTROS OPCIONALES (puedes invocar sin ellos y dejar que la IA elija defaults): salesAngle, buyerPersona, isCombo.', LandingInput.shape, async (input) => {
     try {
       return await submitCreative(api, {
         path: "/v1/creatives/landing",
-        fileField: "image",
         estimatedSeconds: 60,
         input
       });
@@ -781,7 +954,7 @@ function registerPublishTools(server, api) {
 __name(registerPublishTools, "registerPublishTools");
 
 // src/server.ts
-function createServer(apiKey, apiBaseUrl) {
+function createServer(apiKey, apiBaseUrl, proxyBaseUrl = null) {
   const server = new McpServer({
     name: "productmaker",
     version: MCP_VERSION
@@ -794,7 +967,7 @@ function createServer(apiKey, apiBaseUrl) {
     }
   });
   const api = new ApiClient(apiBaseUrl, apiKey);
-  registerTaskTools(server, api);
+  registerTaskTools(server, api, proxyBaseUrl);
   registerCreativeTools(server, api);
   registerConnectionTools(server, api);
   registerPublishTools(server, api);
@@ -803,20 +976,24 @@ function createServer(apiKey, apiBaseUrl) {
 __name(createServer, "createServer");
 
 // src/validate-api-url.ts
-function assertSafeApiBaseUrl(url) {
+function assertSafePublicBaseUrl(envName, url) {
   let u;
   try {
     u = new URL(url);
   } catch {
-    throw new Error(`PM_API_URL is not a valid URL: ${url}`);
+    throw new Error(`${envName} is not a valid URL: ${url}`);
   }
   if (u.protocol !== "https:") {
-    throw new Error(`PM_API_URL must use https (got ${u.protocol})`);
+    throw new Error(`${envName} must use https (got ${u.protocol})`);
   }
   if (isPrivateHost(u.hostname)) {
-    throw new Error(`PM_API_URL must not point to a private/loopback host: ${u.hostname}`);
+    throw new Error(`${envName} must not point to a private/loopback host: ${u.hostname}`);
   }
 }
+__name(assertSafePublicBaseUrl, "assertSafePublicBaseUrl");
+function assertSafeApiBaseUrl(url) {
+  assertSafePublicBaseUrl("PM_API_URL", url);
+}
 __name(assertSafeApiBaseUrl, "assertSafeApiBaseUrl");
 
 // src/stdio.ts

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@productmaker/mcp",
-  "version": "0.1.5",
+  "version": "0.1.6",
   "type": "module",
   "private": false,
   "bin": {