auroq-os 2.0.0 → 2.0.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.
Files changed (2) hide show
  1. package/.claude/commands/AuroqOS/agents/ops.md +43 -20
  2. package/package.json +1 -1
package/.claude/commands/AuroqOS/agents/ops.md CHANGED
@@ -845,34 +845,57 @@ Conexoes extras — OPCIONAL, RECOMENDADO. Roda depois do bootstrap principal, q
845
845
 
846
846
  #### 1. 1Password — cofre cifrado (RECOMENDADO)
847
847
 
848
- **O que e:** hoje tuas chaves ficam num cofre local (a pasta `business/vault/`, protegida e fora do git). Funciona pra comecar. O 1Password sobe isso pra um cofre CIFRADO de verdade — mesmo que algo vaze, a chave fica embaralhada e inutil sem a senha mestra. Desbloqueio por digital (Touch ID).
848
+ **O que e:** hoje tuas chaves ficam num cofre local (`business/vault/`, fora do git). Funciona pra comecar. O 1Password sobe isso pra um cofre CIFRADO — mesmo que vaze, a chave fica inutil sem a senha mestra.
849
849
 
850
- **Quando vale:** quando o expert ja tem credencial sensivel em uso de verdade (Service Key do Supabase, token de pagamento, Meta). E a diferenca entre guardar a chave embaixo do tapete e ter um cofre.
850
+ **Quando vale:** quando o expert ja tem credencial sensivel em uso (Service Key do Supabase, token de pagamento, Meta).
851
851
 
852
- **Custo (ser honesto com o expert):** plano Individual ~US$5/mes (cobrado em dolar, ~R$25-30/mes). NAO precisa do plano Business — o Individual conecta o CLI via app desktop + Touch ID, que e suficiente pro uso aqui.
852
+ **🔒 REGRA DE OURO INEGOCIAVEL (vale pras DUAS opcoes):**
853
+ - **NUNCA pedir, ver, ecoar ou colar um token/credencial no chat.** Token que aparece no chat = COMPROMETIDO (vai pro historico). Tem que ser revogado.
854
+ - O token vai **DIRETO no arquivo, pelo PROPRIO expert**. O Ops **prepara a linha**; o expert **cola o valor**. O Ops **nunca ve** o token.
855
+ - Na migracao das chaves, o Ops **NAO le os valores** do `business/vault/` pra recriar (isso jogaria a credencial no contexto). Quem move os valores e o expert.
853
856
 
854
- **Passo a passo:**
855
- 1. Confirmar: "Quer subir teu cofre pro 1Password? E pago (~R$25-30/mes), mas e seguranca de verdade — chave cifrada. Posso te guiar." SE nao quiser: parar aqui (o cofre local continua valendo).
856
- 2. Criar conta no 1Password (1password.com) plano **Individual**. O expert faz o cadastro e a assinatura no navegador.
857
- 3. Instalar o **app desktop** do 1Password (1password.com/downloads) — precisa ser o programa de computador, nao so a extensao do navegador nem o app de celular. Logar nele.
858
- 4. Ligar a integracao com o CLI: no app desktop, **Settings → Developer → ligar "Integrate with 1Password CLI"** e o desbloqueio por Touch ID (Mac) / Windows Hello (Windows).
859
- 5. Instalar o CLI do 1Password (o `op`). Referencia oficial: developer.1password.com/docs/cli/get-started
860
- - macOS (geralmente): `brew install 1password-cli` verificar: `op --version`
861
- - Windows: `winget install AgileBits.1Password.CLI` (ou baixar de 1password.com/downloads)
862
- 6. Criar um vault chamado **Claude** no app — so o que o Claude pode acessar; o resto da conta do expert fica privado.
863
- 7. **Migrar as chaves:** ler cada arquivo de `business/vault/` e criar um item correspondente no vault "Claude" (ex: "Supabase Service Key", "Vercel"). O Ops faz isso lendo o vault local e usando `op item create`.
864
- 8. Apos migrar, **esvaziar** `business/vault/`: deixar so um `README.md` dizendo que as chaves agora vivem no 1Password (vault "Claude").
857
+ ---
858
+
859
+ **OPCAO A Shell / Service Account (A MELHOR: headless, o Auroq usa sozinho)**
860
+
861
+ Requer plano **Business** (Service Accounts). O Auroq acessa as chaves automaticamente, sem biometria.
862
+
863
+ 1. No painel: **my.1password.com Developer Service Accounts → Criar** → dar acesso **so ao vault "Claude"** → **gerar o token** (`ops_...`).
864
+ 2. **Colocar o token no shell SEM passar pelo chat.** O Ops deixa a linha pronta no `~/.zshenv`:
865
+ `# export OP_SERVICE_ACCOUNT_TOKEN="COLE_AQUI"`
866
+ E instrui o expert a colar o valor real de um jeito que NAO ecoa na tela (rodar no terminal dele):
867
+ `read -s TOKEN && echo "export OP_SERVICE_ACCOUNT_TOKEN=\"$TOKEN\"" >> ~/.zshenv && unset TOKEN`
868
+ (cola o token, da Enter — nada aparece na tela, vai direto pro arquivo). O Ops NAO ve o valor.
869
+ 3. Recarregar: abrir um terminal novo, ou `source ~/.zshenv`.
870
+ 4. Testar: `op vault list` — listou os vaults = conectado.
871
+
872
+ ---
873
+
874
+ **OPCAO B — App desktop + Touch ID (mais barato, porem interativo)**
875
+
876
+ Plano **Individual** (~US$5/mes, ~R$25-30). Funciona, mas exige o app desktop aberto e biometria a cada sessao (nao serve pra automacao headless).
877
+
878
+ 1. Criar conta Individual (1password.com) + instalar o **app desktop** (1password.com/downloads — o programa, nao a extensao) + logar.
879
+ 2. No app: **Settings → Developer → "Integrate with 1Password CLI"** + ligar Touch ID (Mac) / Windows Hello (Win).
880
+ 3. Instalar o `op` CLI (ref: developer.1password.com/docs/cli/get-started). macOS: `brew install 1password-cli`; Windows: `winget install AgileBits.1Password.CLI`. Verificar: `op --version`.
881
+ 4. Testar: `op vault list` (pede biometria) — listou = conectado.
882
+
883
+ ---
884
+
885
+ **MIGRAR AS CHAVES (sem o Ops tocar nos valores):**
886
+ 1. Criar o vault **"Claude"** no 1Password (so o que o Auroq pode acessar; o resto fica privado).
887
+ 2. **O EXPERT** copia cada credencial do `business/vault/*.md` e cria o item no vault "Claude" (pelo app). O Ops diz QUAIS itens criar (ex: "Supabase — Service Key", "Vercel"), mas **NAO le nem digita os valores**.
888
+ 3. Migrado e testado → **esvaziar** `business/vault/` (deixar so um `README.md` dizendo que as chaves vivem no 1Password).
865
889
 
866
890
  **GATE DE VERIFICACAO (BLOCKING):**
867
- 1. `op --version` retorna versao
868
- 2. `op vault list` mostra o vault "Claude"
869
- 3. `op read` de uma credencial migrada funciona (retorna o valor real)
870
- 4. `business/vault/` nao tem mais chave em texto plano (so o README)
891
+ 1. `op vault list` funciona (Opcao A: via token no env; Opcao B: via biometria)
892
+ 2. `op read "op://Claude/<item>/<campo>"` retorna o valor de uma credencial migrada
893
+ 3. `business/vault/` sem chave em texto plano (so o README)
871
894
  → SE qualquer um falhar: resolver antes de dizer "conectado".
872
895
 
873
- **Nota honesta pro expert:** o cofre fica cifrado, mas no momento que um agente USA a chave, ela passa pelo terminal. O 1Password resolve o ARMAZENAMENTO (nao ficar em texto plano no disco/nuvem) — que e o grosso do risco.
896
+ **Nota honesta:** mesmo cifrado, na hora que o agente USA a chave ela passa pelo terminal. O 1Password resolve o ARMAZENAMENTO (nao ficar em texto plano no disco/nuvem) — que e o grosso do risco.
874
897
 
875
- → Check: "1Password conectado, chaves migradas, vault local esvaziado" ou "Pulado (segue no cofre local)"
898
+ → Check: "1Password conectado (A: shell / B: desktop), chaves migradas, vault local esvaziado" ou "Pulado (segue no cofre local)"
876
899
 
877
900
  ---
878
901
 
package/package.json CHANGED
@@ -1,6 +1,6 @@
1
1
  {
2
2
  "name": "auroq-os",
3
- "version": "2.0.0",
3
+ "version": "2.0.1",
4
4
  "description": "Auroq OS — Sistema Operacional de IA para Experts",
5
5
  "bin": {
6
6
  "auroq-os": "bin/auroq-os.js"