@productmaker/mcp 0.1.5 → 0.2.0

package/dist/http.js

@@ -4,6 +4,8 @@ var __name = (target, value) => __defProp(target, "name", { value, configurable:
 // src/http.ts
 import express from "express";
 import rateLimit from "express-rate-limit";
+import { Readable } from "stream";
+import { pipeline } from "stream/promises";
 import { StreamableHTTPServerTransport } from "@modelcontextprotocol/sdk/server/streamableHttp.js";
 
 // src/server.ts
@@ -36,14 +38,14 @@ var ApiClient = class {
       Authorization: `Bearer ${this.apiKey}`
     };
   }
-  async getJson(path) {
-    const res = await fetch(`${this.baseUrl}${path}`, {
+  async getJson(path2) {
+    const res = await fetch(`${this.baseUrl}${path2}`, {
       headers: this.authHeaders()
     });
     return this.parse(res);
   }
-  async postJson(path, body) {
-    const res = await fetch(`${this.baseUrl}${path}`, {
+  async postJson(path2, body) {
+    const res = await fetch(`${this.baseUrl}${path2}`, {
       method: "POST",
       headers: {
         ...this.authHeaders(),
@@ -53,8 +55,8 @@ var ApiClient = class {
     });
     return this.parse(res);
   }
-  async patchJson(path, body) {
-    const res = await fetch(`${this.baseUrl}${path}`, {
+  async patchJson(path2, body) {
+    const res = await fetch(`${this.baseUrl}${path2}`, {
       method: "PATCH",
       headers: {
         ...this.authHeaders(),
@@ -64,27 +66,32 @@ var ApiClient = class {
     });
     return this.parse(res);
   }
-  async deleteJson(path) {
-    const res = await fetch(`${this.baseUrl}${path}`, {
+  async deleteJson(path2) {
+    const res = await fetch(`${this.baseUrl}${path2}`, {
       method: "DELETE",
       headers: this.authHeaders()
     });
     return this.parse(res);
   }
-  async postMultipart(path, files, fields) {
+  async postMultipart(path2, files, fields) {
     const form = new FormData();
-    for (const [name, file] of Object.entries(files)) {
-      const blob = new Blob([
-        new Uint8Array(file.buffer)
-      ], {
-        type: file.mimetype
-      });
-      form.append(name, blob, file.filename);
+    for (const [name, value] of Object.entries(files)) {
+      const parts = Array.isArray(value) ? value : [
+        value
+      ];
+      for (const file of parts) {
+        const blob = new Blob([
+          new Uint8Array(file.buffer)
+        ], {
+          type: file.mimetype
+        });
+        form.append(name, blob, file.filename);
+      }
     }
     for (const [k, v] of Object.entries(fields)) {
       if (v !== void 0) form.append(k, v);
     }
-    const res = await fetch(`${this.baseUrl}${path}`, {
+    const res = await fetch(`${this.baseUrl}${path2}`, {
       method: "POST",
       headers: this.authHeaders(),
       body: form
@@ -106,18 +113,40 @@ var ApiClient = class {
 };
 
 // src/index.ts
-var MCP_VERSION = "0.1.0";
+var MCP_VERSION = "0.2.0";
 
 // src/tools/tasks.ts
 import { z as z2 } from "zod";
 
 // src/resolve-image.ts
+import { lookup as dnsLookup } from "dns/promises";
+import { promises as fs, createReadStream } from "fs";
+import * as path from "path";
+import * as os from "os";
 var MAX_BYTES = 20 * 1024 * 1024;
-var ALLOWED = /* @__PURE__ */ new Set([
-  "image/jpeg",
-  "image/png",
-  "image/webp"
-]);
+var IMAGE_FORMATS = [
+  {
+    mime: "image/jpeg",
+    exts: [
+      ".jpg",
+      ".jpeg"
+    ]
+  },
+  {
+    mime: "image/png",
+    exts: [
+      ".png"
+    ]
+  },
+  {
+    mime: "image/webp",
+    exts: [
+      ".webp"
+    ]
+  }
+];
+var ALLOWED_MIMES = new Set(IMAGE_FORMATS.map((f) => f.mime));
+var ALLOWED_EXTS = new Set(IMAGE_FORMATS.flatMap((f) => f.exts));
 var ResolveImageError = class extends Error {
   static {
     __name(this, "ResolveImageError");
@@ -146,64 +175,177 @@ function isPrivateHost(host) {
   if (/^172\.(1[6-9]|2\d|3[0-1])\./.test(host)) return true;
   if (host.startsWith("169.254.")) return true;
   if (host === "[::1]" || host === "::1") return true;
+  if (/^\[?0*:(?:0*:){6}0*1\]?$/i.test(host)) return true;
+  const ipv4Mapped = host.match(/^\[?::ffff:([0-9a-f.:]+)\]?$/i);
+  if (ipv4Mapped && ipv4Mapped[1]) {
+    const inner = ipv4Mapped[1];
+    if (inner.includes(".")) return isPrivateHost(inner);
+    const parts = inner.split(":").map((h) => parseInt(h, 16));
+    if (parts.length === 2 && parts.every((n) => !Number.isNaN(n))) {
+      const bytes = [
+        parts[0] >> 8,
+        parts[0] & 255,
+        parts[1] >> 8,
+        parts[1] & 255
+      ];
+      return isPrivateHost(bytes.join("."));
+    }
+  }
   if (/^\[?f[cd][0-9a-f]{2}:/i.test(host)) return true;
   if (/^\[?fe[89ab][0-9a-f]:/i.test(host)) return true;
   return false;
 }
 __name(isPrivateHost, "isPrivateHost");
-async function resolveImage(input) {
-  if (input.imageUrl && input.imageBase64) {
-    throw new ResolveImageError("INVALID_INPUT", "Provide only one of imageUrl or imageBase64");
+async function assertHostResolvesPublic(hostname) {
+  let records;
+  try {
+    records = await dnsLookup(hostname, {
+      all: true
+    });
+  } catch {
+    if (process.env.NODE_ENV === "test" || process.env.VITEST) return;
+    throw new ResolveImageError("INVALID_INPUT", `imageUrl DNS lookup failed for ${hostname}`);
   }
-  if (input.imageUrl) {
-    let u;
-    try {
-      u = new URL(input.imageUrl);
-    } catch {
-      throw new ResolveImageError("INVALID_INPUT", "imageUrl is not a valid URL");
+  for (const { address } of records) {
+    if (isPrivateHost(address)) {
+      throw new ResolveImageError("INVALID_INPUT", `imageUrl host resolves to a private address (${address})`);
     }
-    if (u.protocol !== "https:") throw new ResolveImageError("INVALID_INPUT", "imageUrl must be HTTPS");
-    if (isPrivateHost(u.hostname)) throw new ResolveImageError("INVALID_INPUT", "imageUrl host not allowed");
-    let res;
-    try {
-      res = await fetch(input.imageUrl, {
-        signal: AbortSignal.timeout(3e4),
-        redirect: "error"
-      });
-    } catch (e) {
-      throw new ResolveImageError("IMAGE_DOWNLOAD_FAILED", e.message);
+  }
+}
+__name(assertHostResolvesPublic, "assertHostResolvesPublic");
+function expandUserPath(raw) {
+  let s = raw.trim();
+  if (s === "~") return os.homedir();
+  if (s.startsWith("~/") || s.startsWith("~\\")) s = path.join(os.homedir(), s.slice(2));
+  s = s.replace(/^\$HOME(?=$|[/\\])/, os.homedir());
+  s = s.replace(/^%USERPROFILE%(?=$|[/\\])/i, os.homedir());
+  return s;
+}
+__name(expandUserPath, "expandUserPath");
+async function readFileWithCap(absPath, max) {
+  const chunks = [];
+  let total = 0;
+  let exceeded = false;
+  const stream = createReadStream(absPath);
+  try {
+    for await (const chunk of stream) {
+      total += chunk.length;
+      if (total > max) {
+        exceeded = true;
+        break;
+      }
+      chunks.push(chunk);
     }
-    if (!res.ok) throw new ResolveImageError("IMAGE_DOWNLOAD_FAILED", `HTTP ${res.status}`);
-    const cl = res.headers.get("content-length");
-    if (cl && Number(cl) > MAX_BYTES) {
-      throw new ResolveImageError("IMAGE_TOO_LARGE", `content-length ${cl}`);
+  } catch (e) {
+    const code = e.code;
+    if (code === "ENOENT") throw new ResolveImageError("IMAGE_PATH_NOT_FOUND", "file disappeared during read");
+    if (code === "EACCES" || code === "EPERM") throw new ResolveImageError("IMAGE_PATH_NOT_READABLE", `cannot read file (${code})`);
+    throw new ResolveImageError("IMAGE_PATH_NOT_READABLE", e.message);
+  } finally {
+    if (!stream.destroyed) stream.destroy();
+  }
+  if (exceeded) throw new ResolveImageError("IMAGE_TOO_LARGE", `file exceeds ${max} bytes`);
+  return Buffer.concat(chunks, total);
+}
+__name(readFileWithCap, "readFileWithCap");
+async function resolvePath(rawPath) {
+  const expanded = expandUserPath(rawPath);
+  const abs = path.resolve(expanded);
+  const ext = path.extname(abs).toLowerCase();
+  if (!ALLOWED_EXTS.has(ext)) {
+    throw new ResolveImageError("IMAGE_TYPE_UNSUPPORTED", `path extension ${ext || "(none)"} is not in the image allowlist (.jpg .jpeg .png .webp)`);
+  }
+  let stat;
+  try {
+    stat = await fs.stat(abs);
+  } catch (e) {
+    const code = e.code;
+    if (code === "ENOENT") {
+      throw new ResolveImageError("IMAGE_PATH_NOT_FOUND", `no such file: ${abs}`);
     }
-    const ct = (res.headers.get("content-type") ?? "").split(";")[0]?.trim() ?? "";
-    if (!ALLOWED.has(ct)) throw new ResolveImageError("IMAGE_TYPE_UNSUPPORTED", `content-type ${ct}`);
-    const buf = Buffer.from(await res.arrayBuffer());
-    if (buf.length > MAX_BYTES) throw new ResolveImageError("IMAGE_TOO_LARGE", `${buf.length} bytes`);
-    const sniffed = sniffMime(buf);
-    if (!sniffed || sniffed !== ct) {
-      throw new ResolveImageError("IMAGE_TYPE_UNSUPPORTED", `magic bytes (${sniffed ?? "unknown"}) do not match content-type (${ct})`);
+    if (code === "EACCES" || code === "EPERM") {
+      throw new ResolveImageError("IMAGE_PATH_NOT_READABLE", `cannot access ${abs} (${code})`);
     }
-    return {
-      buffer: buf,
-      mimetype: sniffed
-    };
+    throw new ResolveImageError("IMAGE_PATH_NOT_READABLE", `stat failed: ${e.message}`);
   }
-  if (input.imageBase64) {
-    const buf = Buffer.from(input.imageBase64, "base64");
-    if (buf.length > MAX_BYTES) throw new ResolveImageError("IMAGE_TOO_LARGE", `${buf.length} bytes`);
-    const mime = sniffMime(buf);
-    if (!mime) throw new ResolveImageError("IMAGE_TYPE_UNSUPPORTED", "cannot detect image type");
-    return {
-      buffer: buf,
-      mimetype: mime
-    };
+  if (!stat.isFile()) {
+    throw new ResolveImageError("IMAGE_PATH_NOT_A_FILE", `${abs} is not a regular file`);
+  }
+  if (stat.size > MAX_BYTES) {
+    throw new ResolveImageError("IMAGE_TOO_LARGE", `${stat.size} bytes (cap ${MAX_BYTES})`);
+  }
+  const buf = await readFileWithCap(abs, MAX_BYTES);
+  const sniffed = sniffMime(buf);
+  if (!sniffed) {
+    throw new ResolveImageError("IMAGE_TYPE_UNSUPPORTED", `magic bytes do not match PNG/JPEG/WEBP for ${abs}`);
   }
-  throw new ResolveImageError("INVALID_INPUT", "imageUrl or imageBase64 required");
+  return {
+    buffer: buf,
+    mimetype: sniffed
+  };
 }
-__name(resolveImage, "resolveImage");
+__name(resolvePath, "resolvePath");
+async function resolveImageUrl(rawUrl) {
+  let u;
+  try {
+    u = new URL(rawUrl);
+  } catch {
+    throw new ResolveImageError("INVALID_INPUT", "imageUrl is not a valid URL");
+  }
+  if (u.protocol !== "https:") throw new ResolveImageError("INVALID_INPUT", "imageUrl must be HTTPS");
+  if (isPrivateHost(u.hostname)) throw new ResolveImageError("INVALID_INPUT", "imageUrl host not allowed");
+  await assertHostResolvesPublic(u.hostname);
+  let res;
+  try {
+    res = await fetch(rawUrl, {
+      signal: AbortSignal.timeout(3e4),
+      redirect: "error"
+    });
+  } catch (e) {
+    throw new ResolveImageError("IMAGE_DOWNLOAD_FAILED", e.message);
+  }
+  if (!res.ok) throw new ResolveImageError("IMAGE_DOWNLOAD_FAILED", `HTTP ${res.status}`);
+  const cl = res.headers.get("content-length");
+  if (cl && Number(cl) > MAX_BYTES) {
+    throw new ResolveImageError("IMAGE_TOO_LARGE", `content-length ${cl}`);
+  }
+  const ct = (res.headers.get("content-type") ?? "").split(";")[0]?.trim() ?? "";
+  if (!ALLOWED_MIMES.has(ct)) throw new ResolveImageError("IMAGE_TYPE_UNSUPPORTED", `content-type ${ct}`);
+  const buf = Buffer.from(await res.arrayBuffer());
+  if (buf.length > MAX_BYTES) throw new ResolveImageError("IMAGE_TOO_LARGE", `${buf.length} bytes`);
+  const sniffed = sniffMime(buf);
+  if (!sniffed || sniffed !== ct) {
+    throw new ResolveImageError("IMAGE_TYPE_UNSUPPORTED", `magic bytes (${sniffed ?? "unknown"}) do not match content-type (${ct})`);
+  }
+  return {
+    buffer: buf,
+    mimetype: sniffed
+  };
+}
+__name(resolveImageUrl, "resolveImageUrl");
+async function resolveImages(images, opts = {
+  transport: "http"
+}) {
+  if (!images.length) throw new ResolveImageError("INVALID_INPUT", "images: at least one entry required");
+  if (images.length > 5) throw new ResolveImageError("INVALID_INPUT", "images: max 5 per request");
+  return Promise.all(images.map((ref) => resolveOne(ref, opts.transport)));
+}
+__name(resolveImages, "resolveImages");
+async function resolveOne(ref, transport) {
+  const hasUrl = Boolean(ref.url);
+  const hasPath = Boolean(ref.path);
+  if (hasUrl === hasPath) {
+    throw new ResolveImageError("INVALID_INPUT", "each image entry must have exactly one of `url` or `path`");
+  }
+  if (hasPath) {
+    if (transport === "http") {
+      throw new ResolveImageError("PATH_NOT_SUPPORTED_IN_HTTP_MODE", "Local file paths are only available when running the MCP locally (npm). For the hosted endpoint at mcp.productmaker.app, pass a public HTTPS `url` instead, or ask the user to host the photo first.");
+    }
+    return resolvePath(ref.path);
+  }
+  return resolveImageUrl(ref.url);
+}
+__name(resolveOne, "resolveOne");
 
 // src/status-poller.ts
 var TERMINAL = /* @__PURE__ */ new Set([
@@ -231,14 +373,14 @@ async function pollStatus(fetcher, waitSeconds, signal, opts = {}) {
 }
 __name(pollStatus, "pollStatus");
 function sleep(ms, signal) {
-  return new Promise((resolve, reject) => {
+  return new Promise((resolve2, reject) => {
     const onAbort = /* @__PURE__ */ __name(() => {
       clearTimeout(t);
       reject(new Error("aborted"));
     }, "onAbort");
     const t = setTimeout(() => {
       signal?.removeEventListener("abort", onAbort);
-      resolve();
+      resolve2();
     }, ms);
     signal?.addEventListener("abort", onAbort, {
       once: true
@@ -257,6 +399,10 @@ var McpErrorCode = {
   IMAGE_DOWNLOAD_FAILED: "IMAGE_DOWNLOAD_FAILED",
   IMAGE_TOO_LARGE: "IMAGE_TOO_LARGE",
   IMAGE_TYPE_UNSUPPORTED: "IMAGE_TYPE_UNSUPPORTED",
+  IMAGE_PATH_NOT_FOUND: "IMAGE_PATH_NOT_FOUND",
+  IMAGE_PATH_NOT_READABLE: "IMAGE_PATH_NOT_READABLE",
+  IMAGE_PATH_NOT_A_FILE: "IMAGE_PATH_NOT_A_FILE",
+  PATH_NOT_SUPPORTED_IN_HTTP_MODE: "PATH_NOT_SUPPORTED_IN_HTTP_MODE",
   TASK_NOT_FOUND: "TASK_NOT_FOUND",
   TASK_NOT_READY: "TASK_NOT_READY",
   NO_SHOPIFY_SHOPS: "NO_SHOPIFY_SHOPS",
@@ -270,7 +416,11 @@ var McpErrorCode = {
 var INVALID_PARAM_CODES = /* @__PURE__ */ new Set([
   McpErrorCode.INVALID_INPUT,
   McpErrorCode.INVALID_API_KEY,
-  McpErrorCode.REVOKED_API_KEY
+  McpErrorCode.REVOKED_API_KEY,
+  McpErrorCode.IMAGE_PATH_NOT_FOUND,
+  McpErrorCode.IMAGE_PATH_NOT_READABLE,
+  McpErrorCode.IMAGE_PATH_NOT_A_FILE,
+  McpErrorCode.PATH_NOT_SUPPORTED_IN_HTTP_MODE
 ]);
 function mcp(code, message, extra = {}) {
   const errCode = INVALID_PARAM_CODES.has(code) ? ErrorCode.InvalidParams : ErrorCode.InternalError;
@@ -360,7 +510,38 @@ var VideoModelEnum = z.enum([
   "grok",
   "kling"
 ]);
-var ImageBase64 = z.string().max(75e5);
+var ImageCreativeStyleEnum = z.enum([
+  "studio",
+  "floating",
+  "ingredients",
+  "in_use"
+]);
+var ImageCreativeArchetypeEnum = z.enum([
+  "direct_response_product_ad",
+  "hero_outcome",
+  "offer_value_prop",
+  "social_proof_trust",
+  "product_clarity",
+  "problem_solution",
+  "lifestyle_identity"
+]);
+var ImageCreativeVisualTreatmentEnum = z.enum([
+  "performance_product_ad",
+  "premium_dtc_carousel"
+]);
+var ImageCreativeAspectRatioEnum = z.enum([
+  "1:1",
+  "4:5",
+  "9:16",
+  "16:9"
+]);
+var ImageRefSchema = z.object({
+  url: z.string().url().optional().describe('URL p\xFAblica HTTPS de la foto. Ej: una URL de Shopify CDN, Cloudinary, Imgur. \xDAsala cuando el usuario te diga "est\xE1 en X.com/foto.jpg" o cuando la foto ya est\xE9 hospedada.'),
+  path: z.string().min(1).optional().describe('Ruta del archivo en el computador del usuario. Ej: "/Users/maria/Desktop/foto.jpg", "~/Pictures/camiseta.png", "C:\\Users\\Maria\\Desktop\\foto.jpg". El MCP local la lee del disco y la sube. SOLO funciona cuando el MCP corre local (stdio). NO funciona en mcp.productmaker.app (HTTP) \u2014 ah\xED usa `url`.')
+}).refine((v) => Boolean(v.url) !== Boolean(v.path), {
+  message: "each image entry must have exactly one of `url` or `path`"
+});
+var ImagesInput = z.array(ImageRefSchema).min(1).max(5).describe('1 a 5 fotos del MISMO producto. La PRIMERA es la principal (hero); las dem\xE1s son \xE1ngulos adicionales. NO mezcles productos distintos en una sola llamada.\n\nCada entrada tiene EXACTAMENTE uno de:\n\u2022 `url` \u2014 URL p\xFAblica HTTPS (Shopify CDN, Cloudinary). Prefi\xE9rela si la foto ya est\xE1 hospedada.\n\u2022 `path` \u2014 Ruta del archivo en el computador del usuario (ej. "/Users/maria/Desktop/foto.jpg", "~/Downloads/camiseta.png"). \xDAsala cuando el usuario te dijo d\xF3nde guard\xF3 la foto. Solo MCP local \u2014 el cliente web rechaza paths.\n\nSi el usuario te peg\xF3 la foto en el chat pero no te dio ni URL ni ruta: PREG\xDANTALE d\xF3nde la tiene guardada (Escritorio, Descargas, etc.). Si el `path` falla con IMAGE_PATH_NOT_FOUND, prueba 1-2 ubicaciones obvias alternativas (~/Desktop, ~/Downloads) antes de molestar al usuario. Tras 3 intentos fallidos, p\xEDdele la ruta completa.');
 function asText(value) {
   return {
     content: [
@@ -384,16 +565,16 @@ function flatten(obj) {
 }
 __name(flatten, "flatten");
 async function submitCreative(api, opts) {
-  const { imageUrl, imageBase64, ...rest } = opts.input;
-  const img = await resolveImage({
-    imageUrl,
-    imageBase64
+  const { images, ...rest } = opts.input;
+  const resolved = await resolveImages(images, {
+    transport: opts.transport
   });
+  const parts = resolved.map((img, i) => ({
+    ...img,
+    filename: `image-${i}.png`
+  }));
   const r = await api.postMultipart(opts.path, {
-    [opts.fileField]: {
-      ...img,
-      filename: "image.png"
-    }
+    images: parts
   }, flatten(rest));
   return asText({
     taskId: r.taskId,
@@ -403,8 +584,135 @@ async function submitCreative(api, opts) {
 }
 __name(submitCreative, "submitCreative");
 
+// src/asset-proxy.ts
+import { createHmac, timingSafeEqual } from "crypto";
+var TOKEN_TTL_SECONDS = 3600;
+var NO_SECRET = "";
+function b64url(buf) {
+  return buf.toString("base64url");
+}
+__name(b64url, "b64url");
+function fromB64url(s) {
+  return Buffer.from(s, "base64url");
+}
+__name(fromB64url, "fromB64url");
+var ALLOWED_PROXY_HOSTS = /\.r2\.cloudflarestorage\.com$/i;
+function isAllowedProxyTarget(rawUrl) {
+  try {
+    const u = new URL(rawUrl);
+    if (u.protocol !== "https:") return false;
+    return ALLOWED_PROXY_HOSTS.test(u.hostname);
+  } catch {
+    return false;
+  }
+}
+__name(isAllowedProxyTarget, "isAllowedProxyTarget");
+function getProxySecret() {
+  const s = process.env.PM_PROXY_SECRET ?? NO_SECRET;
+  return s.length >= 32 ? s : NO_SECRET;
+}
+__name(getProxySecret, "getProxySecret");
+function isProxyEnabled() {
+  return getProxySecret().length >= 32;
+}
+__name(isProxyEnabled, "isProxyEnabled");
+var FILENAME_SAFE = /[^a-zA-Z0-9._-]+/g;
+function sanitizeContentDispositionFilename(name) {
+  return name.replace(FILENAME_SAFE, "_").slice(0, 96) || "asset";
+}
+__name(sanitizeContentDispositionFilename, "sanitizeContentDispositionFilename");
+function mintToken(payload, secret = getProxySecret()) {
+  if (secret.length < 32) throw new Error("PM_PROXY_SECRET too short");
+  if (!isAllowedProxyTarget(payload.url)) throw new Error("asset URL is outside the proxy allowlist");
+  const body = {
+    url: payload.url,
+    name: payload.name,
+    exp: Math.floor(Date.now() / 1e3) + TOKEN_TTL_SECONDS
+  };
+  const json = Buffer.from(JSON.stringify(body), "utf8");
+  const sig = createHmac("sha256", secret).update(json).digest();
+  return `${b64url(json)}.${b64url(sig)}`;
+}
+__name(mintToken, "mintToken");
+function verifyToken(token, secret = getProxySecret()) {
+  if (secret.length < 32) return null;
+  const parts = token.split(".");
+  if (parts.length !== 2) return null;
+  let json;
+  let sig;
+  try {
+    json = fromB64url(parts[0]);
+    sig = fromB64url(parts[1]);
+  } catch {
+    return null;
+  }
+  const expected = createHmac("sha256", secret).update(json).digest();
+  if (expected.length !== sig.length) return null;
+  if (!timingSafeEqual(expected, sig)) return null;
+  let raw;
+  try {
+    raw = JSON.parse(json.toString("utf8"));
+  } catch {
+    return null;
+  }
+  if (!isAssetPayload(raw)) return null;
+  if (raw.exp < Math.floor(Date.now() / 1e3)) return null;
+  return raw;
+}
+__name(verifyToken, "verifyToken");
+function isAssetPayload(v) {
+  if (!v || typeof v !== "object") return false;
+  const o = v;
+  return typeof o.url === "string" && typeof o.name === "string" && typeof o.exp === "number";
+}
+__name(isAssetPayload, "isAssetPayload");
+function buildProxyUrl(opts) {
+  const secret = getProxySecret();
+  if (!opts.proxyBaseUrl || !secret) return null;
+  if (!isAllowedProxyTarget(opts.r2Url)) return null;
+  const token = mintToken({
+    url: opts.r2Url,
+    name: opts.filename
+  }, secret);
+  return `${opts.proxyBaseUrl.replace(/\/+$/, "")}/assets/${token}/${encodeURIComponent(opts.filename)}`;
+}
+__name(buildProxyUrl, "buildProxyUrl");
+
 // src/tools/task-outputs.ts
 var WEBAPP_BASE = "https://productmaker.app";
+function proxifyOutputs(outputs, proxyBaseUrl) {
+  if (!proxyBaseUrl || !isProxyEnabled()) return outputs;
+  const rewrite = /* @__PURE__ */ __name((url, filename) => buildProxyUrl({
+    r2Url: url,
+    filename,
+    proxyBaseUrl
+  }) ?? url, "rewrite");
+  return {
+    webappUrl: outputs.webappUrl,
+    images: outputs.images.map((img, i) => ({
+      ...img,
+      url: rewrite(img.url, `image-${i}.png`)
+    })),
+    landing: {
+      sections: outputs.landing.sections.map((s) => ({
+        ...s,
+        url: rewrite(s.url, `landing-${sanitizeFilename(s.role)}.png`)
+      }))
+    },
+    videos: outputs.videos.map((v) => ({
+      ...v,
+      variants: v.variants.map((variant) => ({
+        ...variant,
+        url: rewrite(variant.url, `video-${sanitizeFilename(v.angleKey)}-${sanitizeFilename(variant.kind)}.mp4`)
+      }))
+    }))
+  };
+}
+__name(proxifyOutputs, "proxifyOutputs");
+function sanitizeFilename(s) {
+  return s.replace(/[^a-zA-Z0-9._-]+/g, "_").slice(0, 64) || "asset";
+}
+__name(sanitizeFilename, "sanitizeFilename");
 async function fetchTaskOutputs(api, taskId) {
   const raw = await api.getJson(`/v1/results/${encodeURIComponent(taskId)}?signedUrls=true`);
   const videos = (raw.videoGenerators ?? []).map((vg) => {
@@ -450,7 +758,7 @@ async function fetchTaskOutputs(api, taskId) {
 }
 __name(fetchTaskOutputs, "fetchTaskOutputs");
 function escapeMdLabel(s) {
-  return s.replace(/[\[\]()]/g, "");
+  return s.replace(/[\[\]\(\)\{\}`<>\r\n\\]/g, " ").replace(/\s+/g, " ").trim();
 }
 __name(escapeMdLabel, "escapeMdLabel");
 function renderOutputsMarkdown(outputs) {
@@ -479,13 +787,12 @@ __name(renderOutputsMarkdown, "renderOutputsMarkdown");
 
 // src/tools/tasks.ts
 var CreateProductTaskInput = z2.object({
-  imageUrl: z2.string().url().optional().describe("URL p\xFAblica de la foto del producto. Provee este O imageBase64 (uno solo). Requerido si no se pasa imageBase64."),
-  imageBase64: ImageBase64.optional().describe("Imagen del producto en base64 (sin prefijo data:). Provee este O imageUrl (uno solo)."),
+  images: ImagesInput,
   productUrl: z2.string().url().optional().describe("Opcional. URL de la p\xE1gina del producto (Shopify, AliExpress, Amazon, etc.) para enriquecer el contexto. Si se omite, la IA infiere todo desde la imagen."),
-  language: Lang.describe('C\xF3digo de idioma para el contenido generado. Ejemplos: "es" (espa\xF1ol), "en" (ingl\xE9s), "pt" (portugu\xE9s). Si el usuario no lo especific\xF3, preg\xFAntale o usa "es" como default LATAM.'),
-  country: Country.describe('C\xF3digo ISO del pa\xEDs objetivo. Ejemplos: "CO" (Colombia), "MX" (M\xE9xico), "US" (Estados Unidos), "AR" (Argentina). Define moneda, m\xE9todos de pago locales y tono. Si el usuario no lo especific\xF3, preg\xFAntale.'),
-  price: z2.string().optional().describe('Opcional. Precio que se mostrar\xE1 en la landing y video. Cualquier formato libre \u2014 ej. "$89.900", "USD 29.99", "MXN 599". Si se omite, la IA sugiere uno basado en producto+pa\xEDs.'),
-  offer: z2.string().optional().describe('Opcional. Oferta o promoci\xF3n a destacar. Ej. "2x1", "Env\xEDo gratis hoy", "50% OFF por lanzamiento". Si se omite, la IA decide si a\xF1adir una.'),
+  language: Lang.describe('C\xF3digo de idioma para el contenido generado. Ejemplos: "es", "en", "pt". REQUERIDO \u2014 si el usuario no lo especific\xF3, PREG\xDANTALE antes de invocar. NUNCA infieras desde el contexto del chat ni asumas "es" por default.'),
+  country: Country.describe('C\xF3digo ISO del pa\xEDs objetivo. Ejemplos: "CO", "MX", "US", "AR". Define moneda, m\xE9todos de pago locales y tono. REQUERIDO \u2014 si el usuario no lo especific\xF3, PREG\xDANTALE antes de invocar. NUNCA infieras desde el contexto del chat.'),
+  price: z2.string().optional().describe('Precio que se mostrar\xE1 en la landing y video. Formato libre \u2014 ej. "$89.900", "USD 29.99", "MXN 599". Opcional pero MUY IMPACTANTE: si el usuario no lo mencion\xF3, PREG\xDANTALE antes de invocar. Si te dice "t\xFA elige", om\xEDtelo y el backend sugiere uno.'),
+  offer: z2.string().optional().describe('Oferta o promoci\xF3n a destacar. Ej. "2x1", "Env\xEDo gratis hoy", "50% OFF". Opcional pero MUY IMPACTANTE: si el usuario no lo mencion\xF3, PREG\xDANTALE antes de invocar (es v\xE1lido que diga "sin oferta"). Si te dice "t\xFA elige", om\xEDtelo.'),
   videoStyle: VideoStyleEnum.optional().describe('Opcional. Estilo visual del video. "ugc" = creador hablando a c\xE1mara (default, mejor CTR LATAM). "cartoon_3d" = animaci\xF3n 3D. "product_only" = sin actor. "ai_dynamic" = cinematogr\xE1fico AI. Si se omite, default "ugc".'),
   narrativeStyle: NarrativeStyleEnum.optional().describe('Opcional. Estructura narrativa. "review" = testimonial (default, alta conversi\xF3n). "problem_product_cta" = problema\u2192soluci\xF3n. "product_showcase" = features. "metaphor_product_cta" = met\xE1fora visual. "wearable_showcase" = para ropa/accesorios. Si se omite, default "review".'),
   videoModel: VideoModelEnum.optional().describe('Opcional. Modelo de video. "veo" (default, calidad Google). "bytedance"/"seedance" = TikTok-style. "kling"/"wan" = alternativos. "infinitalk" = lipsync largo. "grok" = grok-imagine. Si se omite, el sistema escoge seg\xFAn costo/calidad.'),
@@ -519,10 +826,16 @@ var EditTaskDraftInput = z2.object({
     scriptNotes: z2.string().max(2e3).optional()
   })
 });
-function registerTaskTools(server, api) {
-  server.tool("create_product_task", 'Crea una tarea de producto desde una imagen. Por defecto genera los 3 outputs (landing + video + image creatives). Devuelve un taskId.\n\nINPUTS REQUERIDOS: imageUrl o imageBase64 (uno solo), language, country.\n\nINPUTS OPCIONALES (TODOS los de abajo se pueden omitir \u2014 si el usuario no los mencion\xF3, PREG\xDANTALE primero si quiere personalizar precio/oferta/estilo, o llama la tool sin ellos y la IA elige defaults sensatos):\n- price, offer (texto libre del precio y promoci\xF3n)\n- videoStyle, narrativeStyle, videoModel (enums \u2014 ver descripci\xF3n de cada campo para valores v\xE1lidos)\n- multiAngleVideos (booleano \u2014 generar varios \xE1ngulos en paralelo)\n- outputs (subconjunto de {landing,video,image})\n- productUrl (URL del producto en Shopify/AliExpress/etc.)\n\nNUNCA inventes valores fuera de los enums declarados. Si el usuario pide algo no soportado (ej. "estilo anime"), preg\xFAntale por una opci\xF3n v\xE1lida.', CreateProductTaskInput.shape, async (input) => {
+function registerTaskTools(server, api, { proxyBaseUrl = null, transport = "http" } = {}) {
+  server.tool("create_product_task", 'Crea una tarea de producto desde una o varias fotos. Por defecto genera los 3 outputs (landing + video + image creatives). Devuelve un taskId.\n\nINPUTS REQUERIDOS: images (1-5 fotos del MISMO producto; la primera es la hero), language, country.\n\nANTES de invocar, PREG\xDANTALE al usuario por price y offer si no los mencion\xF3 \u2014 son los inputs de mayor impacto en conversi\xF3n y nunca debes asumirlos. NO defaultes country/language desde el contexto del chat: preg\xFAntale expl\xEDcitamente, incluso si el usuario est\xE1 en LATAM. Si te dice "t\xFA elige" para price/offer, om\xEDtelos.\n\nSi el usuario tiene varias fotos del MISMO producto (frente, lateral, detalle, uso), incl\xFAyelas todas en images[] hasta 5. Si tiene fotos de productos DIFERENTES, son llamadas separadas (una tarea por producto).\n\nOTROS OPCIONALES (puedes invocar sin ellos y dejar que la IA elija defaults sensatos):\n- videoStyle, narrativeStyle, videoModel (enums \u2014 ver descripci\xF3n de cada campo)\n- multiAngleVideos (booleano)\n- outputs (subconjunto de {landing,video,image})\n- productUrl\n\nUsa SOLO valores declarados en los enums. Si el usuario pide algo no soportado (ej. "estilo anime"), p\xEDdele una opci\xF3n v\xE1lida.', CreateProductTaskInput.shape, async (input) => {
     try {
-      const img = await resolveImage(input);
+      const imgs = await resolveImages(input.images, {
+        transport
+      });
+      const parts = imgs.map((img, i) => ({
+        ...img,
+        filename: `image-${i}.png`
+      }));
       const fields = flatten({
         "options.languageCode": input.language,
         "options.country": input.country,
@@ -536,10 +849,7 @@ function registerTaskTools(server, api) {
         url: input.productUrl
       });
       const r = await api.postMultipart("/v1/ingest", {
-        image: {
-          ...img,
-          filename: "image.png"
-        }
+        images: parts
       }, fields);
       return asText({
         taskId: r.taskId,
@@ -557,7 +867,8 @@ function registerTaskTools(server, api) {
       const snapshot = await pollStatus(fetcher, input.waitSeconds ?? 0, signal);
       if (snapshot.status !== "done") return asText(snapshot);
       try {
-        const outputs = await fetchTaskOutputs(api, input.taskId);
+        const rawOutputs = await fetchTaskOutputs(api, input.taskId);
+        const outputs = proxifyOutputs(rawOutputs, proxyBaseUrl);
         return {
           content: [
             {
@@ -589,8 +900,8 @@ function registerTaskTools(server, api) {
       if (input.limit != null) qs.set("limit", String(input.limit));
       if (input.offset != null) qs.set("offset", String(input.offset));
       if (input.search) qs.set("search", input.search);
-      const path = `/v1/tasks${qs.toString() ? "?" + qs.toString() : ""}`;
-      const r = await api.getJson(path);
+      const path2 = `/v1/tasks${qs.toString() ? "?" + qs.toString() : ""}`;
+      const r = await api.getJson(path2);
       return asText(r);
     } catch (e) {
       throw translateError(e);
@@ -611,21 +922,21 @@ __name(registerTaskTools, "registerTaskTools");
 
 // src/tools/creatives.ts
 import { z as z3 } from "zod";
-var ImageInputRefs = {
-  imageUrl: z3.string().url().optional().describe("URL p\xFAblica de la foto del producto. Provee este O imageBase64 (uno solo)."),
-  imageBase64: ImageBase64.optional().describe("Imagen del producto en base64 (sin prefijo data:). Provee este O imageUrl (uno solo)."),
-  language: Lang.describe('Idioma del contenido. Ej. "es", "en", "pt". Si el usuario no lo dijo, preg\xFAntale.'),
-  country: Country.describe('Pa\xEDs objetivo ISO. Ej. "CO", "MX", "US", "AR". Define moneda y tono. Si el usuario no lo dijo, preg\xFAntale.'),
-  price: z3.string().optional().describe('Opcional. Precio en formato libre \u2014 ej. "$89.900", "USD 29.99". Om\xEDtelo y la IA sugiere uno.'),
-  offer: z3.string().optional().describe('Opcional. Oferta a destacar \u2014 ej. "2x1", "Env\xEDo gratis", "50% OFF".')
+var CreativeRefs = {
+  images: ImagesInput,
+  language: Lang.describe('Idioma del contenido. Ej. "es", "en", "pt". REQUERIDO \u2014 si el usuario no lo dijo, PREG\xDANTALE antes de invocar. NUNCA infieras desde el contexto del chat ni asumas un default.'),
+  country: Country.describe('Pa\xEDs objetivo ISO. Ej. "CO", "MX", "US", "AR". Define moneda, m\xE9todos de pago y tono. REQUERIDO \u2014 si el usuario no lo dijo, PREG\xDANTALE antes de invocar. NUNCA infieras desde el contexto del chat ni asumas un default.'),
+  price: z3.string().optional().describe('Precio en formato libre \u2014 ej. "$89.900", "USD 29.99". Opcional pero MUY IMPACTANTE para conversi\xF3n: si el usuario no lo mencion\xF3, PREG\xDANTALE antes de invocar. Si el usuario te dice "t\xFA elige", omite el campo y la IA del backend sugiere uno.'),
+  offer: z3.string().optional().describe('Oferta a destacar \u2014 ej. "2x1", "Env\xEDo gratis", "50% OFF". Opcional pero MUY IMPACTANTE: si el usuario no lo mencion\xF3, PREG\xDANTALE antes de invocar (es v\xE1lido que diga "sin oferta"). Si el usuario te dice "t\xFA elige", omite el campo.'),
+  buyerPersona: z3.string().optional().describe('Opcional. Descripci\xF3n del comprador objetivo. Ej. "Mujeres 35-50, profesionales urbanas". Si se omite, la IA infiere desde el \xE1ngulo y producto.'),
+  isCombo: z3.boolean().optional().describe("Opcional. Si true, el creativo presenta el producto como combo/pack. Default false.")
 };
 var VideoInput = z3.object({
-  imageUrl: ImageInputRefs.imageUrl,
-  imageBase64: ImageInputRefs.imageBase64,
+  images: CreativeRefs.images,
   title: z3.string().min(1).describe('T\xEDtulo corto del producto. Aparece en la primera vista del video. Ej. "Crema Anti-Edad Premium".'),
   primaryAngle: z3.string().min(1).describe('\xC1ngulo de venta principal (frase del beneficio). Ej. "Reduce arrugas en 14 d\xEDas" o "Para quienes odian las cremas grasosas".'),
-  language: ImageInputRefs.language,
-  country: ImageInputRefs.country,
+  language: CreativeRefs.language,
+  country: CreativeRefs.country,
   aspectRatio: z3.enum([
     "9:16",
     "16:9",
@@ -636,71 +947,81 @@ var VideoInput = z3.object({
   videoStyle: VideoStyleEnum.optional().describe('Opcional. Estilo visual. "ugc" (creador hablando, default), "cartoon_3d", "product_only", "ai_dynamic".'),
   videoModel: VideoModelEnum.optional().describe('Opcional. Modelo de video. "veo" (default, calidad Google). Ver lista de valores v\xE1lidos.'),
   features: z3.array(z3.string()).optional().describe('Opcional. Lista de features/beneficios clave a mencionar. Ej. ["resistente al agua", "bater\xEDa 24h", "carga inal\xE1mbrica"].'),
-  price: ImageInputRefs.price,
-  offer: ImageInputRefs.offer,
+  price: CreativeRefs.price,
+  offer: CreativeRefs.offer,
   cta: z3.string().optional().describe('Opcional. Call-to-action final del video. Ej. "Compra ahora", "Pide el tuyo hoy", "Link en bio". Si se omite, la IA escribe uno.'),
   scriptNotes: z3.string().optional().describe('Opcional. Notas/restricciones para el guion. Ej. "No mencionar la marca X", "Tono divertido, no cl\xEDnico".')
 });
+var imageStyleList = ImageCreativeStyleEnum.options.join(" | ");
+var archetypeList = ImageCreativeArchetypeEnum.options.join(" | ");
+var visualTreatmentList = ImageCreativeVisualTreatmentEnum.options.join(" | ");
+var aspectRatioList = ImageCreativeAspectRatioEnum.options.join(" | ");
 var ImageInput = z3.object({
-  imageUrl: ImageInputRefs.imageUrl,
-  imageBase64: ImageInputRefs.imageBase64,
+  images: CreativeRefs.images,
   productTitle: z3.string().min(1).describe('Nombre del producto. Ej. "Crema Anti-Edad Premium".'),
   primaryAngle: z3.string().min(1).describe('\xC1ngulo de venta principal. Ej. "Reduce arrugas en 14 d\xEDas".'),
-  language: ImageInputRefs.language,
-  country: ImageInputRefs.country,
+  buyerPersona: CreativeRefs.buyerPersona,
+  language: CreativeRefs.language,
+  country: CreativeRefs.country,
   nVariants: z3.number().int().min(1).max(6).optional().describe("Opcional. N\xFAmero de variantes a generar (1-6). Default 3."),
   imageModel: z3.string().optional().describe('Opcional. Modelo de imagen. Ej. "gpt-image-2", "nano-banana-2". Om\xEDtelo para usar el default optimizado por costo/calidad.'),
-  imageStyle: z3.string().optional().describe('Opcional. Estilo visual libre. Ej. "minimalista fondo blanco", "lifestyle outdoor", "ne\xF3n cyberpunk".'),
+  imageStyle: ImageCreativeStyleEnum.optional().describe(`Opcional. Estilo del shot del producto. Valores: ${imageStyleList}. Si se omite, la IA escoge seg\xFAn el archetype.`),
+  creativeArchetype: ImageCreativeArchetypeEnum.optional().describe(`Opcional. Arquetipo CRO de la composici\xF3n. Valores: ${archetypeList}. Si se omite, la IA escoge seg\xFAn \xE1ngulo+oferta (ej. "offer_value_prop" cuando hay descuento, "social_proof_trust" cuando el \xE1ngulo es testimonial).`),
+  visualTreatment: ImageCreativeVisualTreatmentEnum.optional().describe(`Opcional. Tratamiento gr\xE1fico. Valores: ${visualTreatmentList} ("performance_product_ad" = dealer-style alto CTR para Meta/TikTok ads; "premium_dtc_carousel" = fotograf\xEDa limpia estilo Allbirds/Glossier). Si se omite, la IA escoge.`),
+  styleMix: z3.boolean().optional().describe("Opcional. Si true, las N variantes mezclan distintos imageStyle para A/B test. Si false/omitido, todas comparten estilo. Default false."),
+  aspectRatio: ImageCreativeAspectRatioEnum.optional().describe(`Opcional. Relaci\xF3n de aspecto. Valores: ${aspectRatioList}. Default "4:5" (vertical Instagram feed).`),
   generateAdCopy: z3.boolean().optional().describe("Opcional. Si true, tambi\xE9n genera headline/body/CTA para el ad. Default false."),
+  pauseForAngleReview: z3.boolean().optional().describe("Opcional. Si true, pausa despu\xE9s de generar el \xE1ngulo y antes de las im\xE1genes para que el usuario edite v\xEDa edit_task_draft. Default false."),
   features: z3.array(z3.string()).optional().describe('Opcional. Features/beneficios a destacar visualmente. Ej. ["resistente al agua", "ultra liviano"].'),
   brandColors: z3.array(z3.string()).optional().describe('Opcional. Paleta de marca en hex. Ej. ["#FF6B35", "#004E89"]. Si se omite, la IA elige seg\xFAn el producto.'),
-  price: ImageInputRefs.price,
-  offer: ImageInputRefs.offer
+  price: CreativeRefs.price,
+  compareAtPrice: z3.string().optional().describe('Opcional. Precio "antes" de la oferta \u2014 solo para im\xE1genes con descuento. Ej. "$129.000" cuando price="$89.900". \xDAtil con creativeArchetype="offer_value_prop".'),
+  offer: CreativeRefs.offer,
+  isCombo: CreativeRefs.isCombo
 });
 var LandingInput = z3.object({
-  imageUrl: ImageInputRefs.imageUrl,
-  imageBase64: ImageInputRefs.imageBase64,
-  language: ImageInputRefs.language,
-  country: ImageInputRefs.country,
+  images: CreativeRefs.images,
+  language: CreativeRefs.language,
+  country: CreativeRefs.country,
   salesAngle: z3.string().optional().describe('Opcional. \xC1ngulo de venta principal. Ej. "Reduce arrugas en 14 d\xEDas". Si se omite, la IA lo deduce de la imagen.'),
-  buyerPersona: z3.string().optional().describe('Opcional. Descripci\xF3n del comprador objetivo. Ej. "Mujeres 35-50, profesionales urbanas". Si se omite, la IA infiere.'),
-  price: ImageInputRefs.price,
-  offer: ImageInputRefs.offer,
+  buyerPersona: CreativeRefs.buyerPersona,
+  price: CreativeRefs.price,
+  offer: CreativeRefs.offer,
   paymentMethods: z3.string().optional().describe('Opcional. M\xE9todos de pago a mostrar (lista libre). Ej. "Tarjeta, PSE, Nequi, Contraentrega". Si se omite, la IA usa los m\xE1s comunes del pa\xEDs.'),
-  isCombo: z3.boolean().optional().describe("Opcional. Si true, la landing presenta el producto como combo/pack. Default false.")
+  isCombo: CreativeRefs.isCombo
 });
-function registerCreativeTools(server, api) {
-  server.tool("generate_video_creative", "Genera UN video creativo independiente. Devuelve un taskId.\n\nREQUERIDOS: imageUrl o imageBase64, title, primaryAngle, language, country, aspectRatio.\n\nOPCIONALES (si el usuario no los mencion\xF3, PREG\xDANTALE antes de llamar \u2014 o invoca sin ellos y la IA decide): durationSeconds, narrativeStyle, videoStyle, videoModel (enums \u2014 usa SOLO valores declarados), features, price, offer, cta, scriptNotes.\n\nNo inventes valores fuera de los enums; si el usuario pide algo no soportado, p\xEDdele una opci\xF3n v\xE1lida.", VideoInput.shape, async (input) => {
+function registerCreativeTools(server, api, { transport = "http" } = {}) {
+  server.tool("generate_video_creative", 'Genera UN video creativo independiente. Devuelve un taskId.\n\nREQUERIDOS: images (array de 1-5 fotos), title, primaryAngle, language, country, aspectRatio.\n\nANTES de invocar, PREG\xDANTALE al usuario por price y offer si no los mencion\xF3 \u2014 son los inputs de mayor impacto en conversi\xF3n y nunca debes asumirlos. NO defaultes country/language desde el contexto: preg\xFAntale expl\xEDcitamente. Si el usuario te dice "t\xFA elige" para price/offer, om\xEDtelos.\n\nOTROS OPCIONALES (puedes invocar sin ellos y dejar que la IA elija defaults sensatos): durationSeconds, narrativeStyle, videoStyle, videoModel, features, cta, scriptNotes.\n\nUsa SOLO valores declarados en los enums. Si el usuario pide algo no soportado, p\xEDdele una opci\xF3n v\xE1lida.', VideoInput.shape, async (input) => {
     try {
       return await submitCreative(api, {
         path: "/v1/creatives/videos",
-        fileField: "media",
         estimatedSeconds: 300,
-        input
+        input,
+        transport
       });
     } catch (e) {
       throw translateError(e);
     }
   });
-  server.tool("generate_image_creatives", "Genera N variantes de imagen creativa (ads est\xE1ticos). Devuelve un taskId.\n\nREQUERIDOS: imageUrl o imageBase64, productTitle, primaryAngle, language, country.\n\nOPCIONALES (si el usuario no los mencion\xF3, PREG\xDANTALE \u2014 o invoca sin ellos y la IA decide): nVariants (default 3), imageModel, imageStyle (texto libre), generateAdCopy, features, brandColors (hex), price, offer.", ImageInput.shape, async (input) => {
+  server.tool("generate_image_creatives", 'Genera N variantes de imagen creativa (ads est\xE1ticos). Devuelve un taskId.\n\nREQUERIDOS: images (array de 1-5 fotos), productTitle, primaryAngle, language, country.\n\nANTES de invocar, PREG\xDANTALE al usuario:\n- price y offer (se renderizan en la imagen \u2014 nunca los asumas; si dice "t\xFA elige", om\xEDtelos).\n- compareAtPrice si hay descuento (ej. "$129.000" para tachar).\n- creativeArchetype y visualTreatment si quiere un look espec\xEDfico (performance vs premium DTC). Si no le importa, om\xEDtelos.\n\nNO defaultes country/language desde el contexto: preg\xFAntale expl\xEDcitamente.\n\nOTROS OPCIONALES: buyerPersona, nVariants (default 3), imageModel, imageStyle, styleMix, aspectRatio (default 4:5), generateAdCopy, pauseForAngleReview, features, brandColors, isCombo.', ImageInput.shape, async (input) => {
     try {
       return await submitCreative(api, {
         path: "/v1/creatives/images",
-        fileField: "image",
         estimatedSeconds: 60,
-        input
+        input,
+        transport
       });
     } catch (e) {
       throw translateError(e);
     }
   });
-  server.tool("generate_landing", "Genera una landing page lista para Shopify. Devuelve un taskId.\n\nREQUERIDOS: imageUrl o imageBase64, language, country.\n\nOPCIONALES (si el usuario no los mencion\xF3, PREG\xDANTALE primero por price/offer/paymentMethods \u2014 son los m\xE1s impactantes para conversi\xF3n \u2014 o invoca sin ellos y la IA elige): salesAngle, buyerPersona, price, offer, paymentMethods (texto libre con m\xE9todos locales del pa\xEDs), isCombo.", LandingInput.shape, async (input) => {
+  server.tool("generate_landing", 'Genera una landing page lista para Shopify. Devuelve un taskId.\n\nREQUERIDOS: images (array de 1-5 fotos), language, country.\n\nANTES de invocar, PREG\xDANTALE al usuario por price, offer y paymentMethods si no los mencion\xF3 \u2014 son los inputs de mayor impacto en conversi\xF3n y nunca debes asumirlos. NO defaultes country/language desde el contexto: preg\xFAntale expl\xEDcitamente. Si el usuario te dice "t\xFA elige" para esos campos, om\xEDtelos.\n\nOTROS OPCIONALES (puedes invocar sin ellos y dejar que la IA elija defaults): salesAngle, buyerPersona, isCombo.', LandingInput.shape, async (input) => {
     try {
       return await submitCreative(api, {
         path: "/v1/creatives/landing",
-        fileField: "image",
         estimatedSeconds: 60,
-        input
+        input,
+        transport
       });
     } catch (e) {
       throw translateError(e);
@@ -782,7 +1103,8 @@ function registerPublishTools(server, api) {
 __name(registerPublishTools, "registerPublishTools");
 
 // src/server.ts
-function createServer(apiKey, apiBaseUrl) {
+function createServer(opts) {
+  const { apiKey, apiBaseUrl, proxyBaseUrl = null, transport = "http" } = opts;
   const server = new McpServer({
     name: "productmaker",
     version: MCP_VERSION
@@ -795,8 +1117,13 @@ function createServer(apiKey, apiBaseUrl) {
     }
   });
   const api = new ApiClient(apiBaseUrl, apiKey);
-  registerTaskTools(server, api);
-  registerCreativeTools(server, api);
+  registerTaskTools(server, api, {
+    proxyBaseUrl,
+    transport
+  });
+  registerCreativeTools(server, api, {
+    transport
+  });
   registerConnectionTools(server, api);
   registerPublishTools(server, api);
   return server;
@@ -804,21 +1131,21 @@ function createServer(apiKey, apiBaseUrl) {
 __name(createServer, "createServer");
 
 // src/validate-api-url.ts
-function assertSafeApiBaseUrl(url) {
+function assertSafePublicBaseUrl(envName, url) {
   let u;
   try {
     u = new URL(url);
   } catch {
-    throw new Error(`PM_API_URL is not a valid URL: ${url}`);
+    throw new Error(`${envName} is not a valid URL: ${url}`);
   }
   if (u.protocol !== "https:") {
-    throw new Error(`PM_API_URL must use https (got ${u.protocol})`);
+    throw new Error(`${envName} must use https (got ${u.protocol})`);
   }
   if (isPrivateHost(u.hostname)) {
-    throw new Error(`PM_API_URL must not point to a private/loopback host: ${u.hostname}`);
+    throw new Error(`${envName} must not point to a private/loopback host: ${u.hostname}`);
   }
 }
-__name(assertSafeApiBaseUrl, "assertSafeApiBaseUrl");
+__name(assertSafePublicBaseUrl, "assertSafePublicBaseUrl");
 
 // src/http.ts
 var PM_API_KEY_PREFIX = "pm_live_";
@@ -847,6 +1174,73 @@ function extractApiKey(req) {
   return null;
 }
 __name(extractApiKey, "extractApiKey");
+var PROXY_FETCH_TIMEOUT_MS = 3e4;
+var INLINE_RENDERABLE_MIMES = /* @__PURE__ */ new Set([
+  "image/jpeg",
+  "image/png",
+  "image/webp",
+  "video/mp4"
+]);
+async function handleAsset(req, res) {
+  if (!getProxySecret()) {
+    res.status(503).json({
+      error: "Proxy disabled"
+    });
+    return;
+  }
+  const token = req.params.token;
+  if (typeof token !== "string" || !token) {
+    res.status(404).end();
+    return;
+  }
+  const payload = verifyToken(token);
+  if (!payload || !isAllowedProxyTarget(payload.url)) {
+    res.status(404).end();
+    return;
+  }
+  let upstream;
+  try {
+    upstream = await fetch(payload.url, {
+      signal: AbortSignal.timeout(PROXY_FETCH_TIMEOUT_MS),
+      redirect: "error"
+    });
+  } catch (err) {
+    process.stderr.write(`mcp asset proxy fetch failed: ${String(err)}
+`);
+    res.status(502).json({
+      error: "Upstream fetch failed"
+    });
+    return;
+  }
+  if (!upstream.ok) {
+    res.status(upstream.status === 404 ? 404 : 502).json({
+      error: `Upstream HTTP ${upstream.status}`
+    });
+    return;
+  }
+  const rawCt = upstream.headers.get("content-type") ?? "application/octet-stream";
+  const ct = rawCt.split(";")[0]?.trim() ?? "application/octet-stream";
+  const cl = upstream.headers.get("content-length");
+  const disposition = INLINE_RENDERABLE_MIMES.has(ct) ? "inline" : "attachment";
+  res.status(200);
+  res.setHeader("Content-Type", ct);
+  if (cl) res.setHeader("Content-Length", cl);
+  res.setHeader("Cache-Control", "private, max-age=300");
+  res.setHeader("Content-Disposition", `${disposition}; filename="${sanitizeContentDispositionFilename(payload.name)}"`);
+  res.setHeader("X-Content-Type-Options", "nosniff");
+  if (!upstream.body) {
+    res.end();
+    return;
+  }
+  try {
+    await pipeline(Readable.fromWeb(upstream.body), res);
+  } catch (err) {
+    process.stderr.write(`mcp asset proxy stream failed: ${String(err)}
+`);
+    if (!res.writableEnded) res.end();
+  }
+}
+__name(handleAsset, "handleAsset");
 function createApp(opts) {
   const app = express();
   app.set("trust proxy", 1);
@@ -871,13 +1265,19 @@ function createApp(opts) {
     legacyHeaders: false
   }));
   app.use(express.json({
-    limit: "10mb"
+    limit: "1mb"
   }));
   app.get("/healthz", (_req, res) => {
     res.json({
       ok: true
     });
   });
+  app.get("/assets/:token/:filename?", rateLimit({
+    windowMs: 6e4,
+    max: 600,
+    standardHeaders: true,
+    legacyHeaders: false
+  }), handleAsset);
   app.post("/mcp", async (req, res) => {
     const apiKey = extractApiKey(req);
     if (!apiKey) {
@@ -887,7 +1287,12 @@ function createApp(opts) {
       return;
     }
     try {
-      const server = createServer(apiKey, opts.apiBaseUrl);
+      const server = createServer({
+        apiKey,
+        apiBaseUrl: opts.apiBaseUrl,
+        proxyBaseUrl: opts.proxyBaseUrl ?? null,
+        transport: "http"
+      });
       const transport = new StreamableHTTPServerTransport({
         sessionIdGenerator: void 0
       });
@@ -907,15 +1312,24 @@ __name(createApp, "createApp");
 if (process.env.MCP_HTTP_AUTOSTART !== "false") {
   const port = Number(process.env.PORT ?? 8080);
   const apiBaseUrl = process.env.PM_API_URL ?? "https://api.productmaker.app";
+  const proxyBaseUrl = process.env.MCP_PROXY_BASE_URL ?? "https://mcp.productmaker.app";
+  try {
+    assertSafePublicBaseUrl("PM_API_URL", apiBaseUrl);
+  } catch (e) {
+    process.stderr.write(`${e.message}
+`);
+    process.exit(1);
+  }
   try {
-    assertSafeApiBaseUrl(apiBaseUrl);
+    assertSafePublicBaseUrl("MCP_PROXY_BASE_URL", proxyBaseUrl);
   } catch (e) {
     process.stderr.write(`${e.message}
 `);
     process.exit(1);
   }
   createApp({
-    apiBaseUrl
+    apiBaseUrl,
+    proxyBaseUrl
   }).listen(port, () => {
     process.stdout.write(`mcp http listening on ${port}
 `);