npm - auroq-os - Versions diffs - 2.0.0 → 2.0.2 - Mend

auroq-os 2.0.0 → 2.0.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (2) hide show

package/.claude/commands/AuroqOS/agents/ops.md +54 -20
package/package.json +1 -1

package/.claude/commands/AuroqOS/agents/ops.md CHANGED Viewed

@@ -845,34 +845,68 @@ Conexoes extras — OPCIONAL, RECOMENDADO. Roda depois do bootstrap principal, q
 #### 1. 1Password — cofre cifrado (RECOMENDADO)
-**O que e:** hoje tuas chaves ficam num cofre local (a pasta `business/vault/`, protegida e fora do git). Funciona pra comecar. O 1Password sobe isso pra um cofre CIFRADO de verdade — mesmo que algo vaze, a chave fica embaralhada e inutil sem a senha mestra. Desbloqueio por digital (Touch ID).
+**O que e:** hoje tuas chaves ficam num cofre local (`business/vault/`, fora do git). Funciona pra comecar. O 1Password sobe isso pra um cofre CIFRADO — mesmo que vaze, a chave fica inutil sem a senha mestra.
-**Quando vale:** quando o expert ja tem credencial sensivel em uso de verdade (Service Key do Supabase, token de pagamento, Meta). E a diferenca entre guardar a chave embaixo do tapete e ter um cofre.
+**Quando vale:** quando o expert ja tem credencial sensivel em uso (Service Key do Supabase, token de pagamento, Meta).
-**Custo (ser honesto com o expert):** plano Individual ~US$5/mes (cobrado em dolar, ~R$25-30/mes). NAO precisa do plano Business — o Individual conecta o CLI via app desktop + Touch ID, que e suficiente pro uso aqui.
+**🔒 REGRA DE OURO — INEGOCIAVEL (vale pras DUAS opcoes):**
+- **NUNCA pedir, ver, ecoar ou colar um token/credencial no chat.** Token que aparece no chat = COMPROMETIDO (vai pro historico). Tem que ser revogado.
+- O token vai **DIRETO no arquivo, pelo PROPRIO expert**. O Ops **prepara a linha**; o expert **cola o valor**. O Ops **nunca ve** o token.
+- Na migracao das chaves, o Ops **NAO le os valores** do `business/vault/` pra recriar (isso jogaria a credencial no contexto). Quem move os valores e o expert.
-**Passo a passo:**
-1. Confirmar: "Quer subir teu cofre pro 1Password? E pago (~R$25-30/mes), mas e seguranca de verdade — chave cifrada. Posso te guiar." SE nao quiser: parar aqui (o cofre local continua valendo).
-2. Criar conta no 1Password (1password.com) — plano **Individual**. O expert faz o cadastro e a assinatura no navegador.
-3. Instalar o **app desktop** do 1Password (1password.com/downloads) — precisa ser o programa de computador, nao so a extensao do navegador nem o app de celular. Logar nele.
-4. Ligar a integracao com o CLI: no app desktop, **Settings → Developer → ligar "Integrate with 1Password CLI"** e o desbloqueio por Touch ID (Mac) / Windows Hello (Windows).
-5. Instalar o CLI do 1Password (o `op`). Referencia oficial: developer.1password.com/docs/cli/get-started
-   - macOS (geralmente): `brew install 1password-cli` — verificar: `op --version`
-   - Windows: `winget install AgileBits.1Password.CLI` (ou baixar de 1password.com/downloads)
-6. Criar um vault chamado **Claude** no app — so o que o Claude pode acessar; o resto da conta do expert fica privado.
-7. **Migrar as chaves:** ler cada arquivo de `business/vault/` e criar um item correspondente no vault "Claude" (ex: "Supabase — Service Key", "Vercel"). O Ops faz isso lendo o vault local e usando `op item create`.
-8. Apos migrar, **esvaziar** `business/vault/`: deixar so um `README.md` dizendo que as chaves agora vivem no 1Password (vault "Claude").
+---
+**PASSO COMUM (as DUAS opcoes precisam): instalar o `op` CLI**
+O token sozinho nao faz nada — ele e so a permissao (uma string). O `op` CLI e o PROGRAMA que usa essa permissao no terminal. **CLI + autenticacao = dupla**: sem CLI da `command not found`; sem auth, ele nao sabe em que conta entrar.
+- Instalar: macOS `brew install 1password-cli` · Windows `winget install AgileBits.1Password.CLI`
+- Verificar: `op --version`
+Com o `op` instalado, escolher COMO ele autentica — A ou B:
+---
+**OPCAO A — Service Account / token no shell (A MELHOR: headless, o Auroq usa sozinho)**
+**NAO precisa de plano Business** — funciona no plano normal. O agente acessa as chaves automaticamente, sem biometria.
+1. No painel: **my.1password.com → Developer → Service Accounts → Criar** → dar acesso **so ao vault "Claude"** → **gerar o token** (`ops_...` — aparece UMA vez so, copiar na hora).
+2. **Token DIRETO no `~/.zshenv`, SEM passar pelo chat.** O Ops deixa a linha pronta:
+   `# export OP_SERVICE_ACCOUNT_TOKEN="COLE_AQUI"`
+   E instrui o expert a colar o valor real de um jeito que NAO ecoa na tela (rodar no terminal dele):
+   `read -s TOKEN && echo "export OP_SERVICE_ACCOUNT_TOKEN=\"$TOKEN\"" >> ~/.zshenv && unset TOKEN`
+   (cola o token, da Enter — nada aparece na tela, vai direto pro arquivo). O Ops NAO ve o valor.
+3. Recarregar: abrir um terminal novo, ou `source ~/.zshenv`.
+4. Testar: `op vault list` — listou os vaults = conectado.
+---
+**OPCAO B — Desktop app + Touch ID (alternativa interativa)**
+Autentica pela biometria do app desktop, em vez do token. Funciona, mas exige o app aberto e biometria a cada sessao — nao serve pra automacao headless (o agente roda sozinho).
+1. Instalar o **app desktop** do 1Password (1password.com/downloads — o programa, nao a extensao do navegador) + logar.
+2. No app: **Settings → Developer → "Integrate with 1Password CLI"** + ligar Touch ID (Mac) / Windows Hello (Win).
+3. Testar: `op vault list` (pede biometria) — listou = conectado.
+> **A (Service Account) e a recomendada** pro Auroq: o agente usa as chaves sozinho. A B obriga voce a autenticar toda hora.
+---
+**MIGRAR AS CHAVES (sem o Ops tocar nos valores):**
+1. Criar o vault **"Claude"** no 1Password (so o que o Auroq pode acessar; o resto fica privado).
+2. **O EXPERT** copia cada credencial do `business/vault/*.md` e cria o item no vault "Claude" (pelo app). O Ops diz QUAIS itens criar (ex: "Supabase — Service Key", "Vercel"), mas **NAO le nem digita os valores**.
+3. Migrado e testado → **esvaziar** `business/vault/` (deixar so um `README.md` dizendo que as chaves vivem no 1Password).
 **GATE DE VERIFICACAO (BLOCKING):**
-1. `op --version` retorna versao
-2. `op vault list` mostra o vault "Claude"
-3. `op read` de uma credencial migrada funciona (retorna o valor real)
-4. `business/vault/` nao tem mais chave em texto plano (so o README)
+1. `op vault list` funciona (Opcao A: via token no env; Opcao B: via biometria)
+2. `op read "op://Claude/<item>/<campo>"` retorna o valor de uma credencial migrada
+3. `business/vault/` sem chave em texto plano (so o README)
 → SE qualquer um falhar: resolver antes de dizer "conectado".
-**Nota honesta pro expert:** o cofre fica cifrado, mas no momento que um agente USA a chave, ela passa pelo terminal. O 1Password resolve o ARMAZENAMENTO (nao ficar em texto plano no disco/nuvem) — que e o grosso do risco.
+**Nota honesta:** mesmo cifrado, na hora que o agente USA a chave ela passa pelo terminal. O 1Password resolve o ARMAZENAMENTO (nao ficar em texto plano no disco/nuvem) — que e o grosso do risco.
-→ Check: "1Password conectado, chaves migradas, vault local esvaziado" ou "Pulado (segue no cofre local)"
+→ Check: "1Password conectado (A: shell / B: desktop), chaves migradas, vault local esvaziado" ou "Pulado (segue no cofre local)"
 ---

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "auroq-os",
-  "version": "2.0.0",
+  "version": "2.0.2",
   "description": "Auroq OS — Sistema Operacional de IA para Experts",
   "bin": {
     "auroq-os": "bin/auroq-os.js"