auroq-os 2.0.1 → 2.0.3

package/.claude/commands/AuroqOS/agents/ops.md

@@ -849,36 +849,28 @@ Conexoes extras — OPCIONAL, RECOMENDADO. Roda depois do bootstrap principal, q
 
 **Quando vale:** quando o expert ja tem credencial sensivel em uso (Service Key do Supabase, token de pagamento, Meta).
 
-**🔒 REGRA DE OURO — INEGOCIAVEL (vale pras DUAS opcoes):**
+**OPCIONAL — a escolha do expert:** ele pode **(a) configurar o 1Password** (a sequencia abaixo) ou **(b) continuar so no cofre local** (`business/vault/`, que ja funciona e protege). **O Ops PERGUNTA antes de comecar** — so segue se o expert topar. E e tudo-ou-nada: faz a sequencia completa ou fica no cofre local; meio-1Password nao serve.
+
+**🔒 REGRA DE OURO — INEGOCIAVEL (se for configurar):**
 - **NUNCA pedir, ver, ecoar ou colar um token/credencial no chat.** Token que aparece no chat = COMPROMETIDO (vai pro historico). Tem que ser revogado.
 - O token vai **DIRETO no arquivo, pelo PROPRIO expert**. O Ops **prepara a linha**; o expert **cola o valor**. O Ops **nunca ve** o token.
 - Na migracao das chaves, o Ops **NAO le os valores** do `business/vault/` pra recriar (isso jogaria a credencial no contexto). Quem move os valores e o expert.
 
 ---
 
-**OPCAO A — Shell / Service Account (A MELHOR: headless, o Auroq usa sozinho)**
-
-Requer plano **Business** (Service Accounts). O Auroq acessa as chaves automaticamente, sem biometria.
+**PROCESSO PADRAO (a sequencia ideal):**
 
-1. No painel: **my.1password.com → Developer → Service Accounts → Criar** → dar acesso **so ao vault "Claude"** → **gerar o token** (`ops_...`).
-2. **Colocar o token no shell SEM passar pelo chat.** O Ops deixa a linha pronta no `~/.zshenv`:
-   `# export OP_SERVICE_ACCOUNT_TOKEN="COLE_AQUI"`
-   E instrui o expert a colar o valor real de um jeito que NAO ecoa na tela (rodar no terminal dele):
+1. **App desktop** — instalar o app do 1Password (1password.com/downloads — o programa, nao a extensao do navegador) e logar na conta.
+2. **CLI `op`** — instalar (e o programa que usa a credencial no terminal): macOS `brew install 1password-cli` · Windows `winget install AgileBits.1Password.CLI` · verificar `op --version`.
+3. **Conectar o `op` ao app** — no app: **Settings → Developer → "Integrate with 1Password CLI"** + ligar Touch ID (Mac) / Windows Hello (Win). Testar: `op vault list` (pede biometria) — listou = CLI conectado.
+4. **Vault "Claude"** — garantir que existe o vault **Claude** (so o que o Auroq vai acessar). Criar no app se ainda nao tiver.
+5. **Gerar o token (Service Account)** — my.1password.com → Developer → Service Accounts → Criar → dar acesso **Read + Write ao vault "Claude"** → gerar o token (`ops_...`, aparece UMA vez so, copiar na hora). **NAO precisa de plano Business.**
+6. **Colar o token no shell SEM expor na conversa.** O Ops prepara a linha (`# export OP_SERVICE_ACCOUNT_TOKEN="COLE_AQUI"`) e o expert cola o valor de um jeito que NAO ecoa (rodar no terminal dele):
    `read -s TOKEN && echo "export OP_SERVICE_ACCOUNT_TOKEN=\"$TOKEN\"" >> ~/.zshenv && unset TOKEN`
-   (cola o token, da Enter — nada aparece na tela, vai direto pro arquivo). O Ops NAO ve o valor.
-3. Recarregar: abrir um terminal novo, ou `source ~/.zshenv`.
-4. Testar: `op vault list` — listou os vaults = conectado.
-
----
-
-**OPCAO B — App desktop + Touch ID (mais barato, porem interativo)**
-
-Plano **Individual** (~US$5/mes, ~R$25-30). Funciona, mas exige o app desktop aberto e biometria a cada sessao (nao serve pra automacao headless).
+   Recarregar: terminal novo ou `source ~/.zshenv`. **O Ops NUNCA ve o valor.**
+7. **Pronto** — o Auroq usa o token (headless, so o vault Claude); o expert gerencia tudo pelo app. Testar: `op read "op://Claude/<item>/<campo>"` retorna o valor.
 
-1. Criar conta Individual (1password.com) + instalar o **app desktop** (1password.com/downloads — o programa, nao a extensao) + logar.
-2. No app: **Settings → Developer → "Integrate with 1Password CLI"** + ligar Touch ID (Mac) / Windows Hello (Win).
-3. Instalar o `op` CLI (ref: developer.1password.com/docs/cli/get-started). macOS: `brew install 1password-cli`; Windows: `winget install AgileBits.1Password.CLI`. Verificar: `op --version`.
-4. Testar: `op vault list` (pede biometria) — listou = conectado.
+(Por que app + CLI **e** token: o app+CLI deixa voce gerenciar o cofre por biometria; o token Service Account e o que o agente usa pra operar sozinho, sem precisar de Touch ID a cada vez.)
 
 ---
 
@@ -888,9 +880,10 @@ Plano **Individual** (~US$5/mes, ~R$25-30). Funciona, mas exige o app desktop ab
 3. Migrado e testado → **esvaziar** `business/vault/` (deixar so um `README.md` dizendo que as chaves vivem no 1Password).
 
 **GATE DE VERIFICACAO (BLOCKING):**
-1. `op vault list` funciona (Opcao A: via token no env; Opcao B: via biometria)
-2. `op read "op://Claude/<item>/<campo>"` retorna o valor de uma credencial migrada
-3. `business/vault/` sem chave em texto plano (so o README)
+1. `op --version` retorna versao (CLI instalado)
+2. `op vault list` funciona (CLI conectado ao app)
+3. `op read "op://Claude/<item>/<campo>"` retorna o valor (token no env funcionando)
+4. `business/vault/` sem chave em texto plano (so o README)
 → SE qualquer um falhar: resolver antes de dizer "conectado".
 
 **Nota honesta:** mesmo cifrado, na hora que o agente USA a chave ela passa pelo terminal. O 1Password resolve o ARMAZENAMENTO (nao ficar em texto plano no disco/nuvem) — que e o grosso do risco.

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "auroq-os",
-  "version": "2.0.1",
+  "version": "2.0.3",
   "description": "Auroq OS — Sistema Operacional de IA para Experts",
   "bin": {
     "auroq-os": "bin/auroq-os.js"