npm - auroq-os - Versions diffs - 2.0.2 → 2.0.3 - Mend

auroq-os 2.0.2 → 2.0.3

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (2) hide show

package/.claude/commands/AuroqOS/agents/ops.md +17 -35
package/package.json +1 -1

package/.claude/commands/AuroqOS/agents/ops.md CHANGED Viewed

@@ -849,47 +849,28 @@ Conexoes extras — OPCIONAL, RECOMENDADO. Roda depois do bootstrap principal, q
 **Quando vale:** quando o expert ja tem credencial sensivel em uso (Service Key do Supabase, token de pagamento, Meta).
-**🔒 REGRA DE OURO — INEGOCIAVEL (vale pras DUAS opcoes):**
+**OPCIONAL — a escolha do expert:** ele pode **(a) configurar o 1Password** (a sequencia abaixo) ou **(b) continuar so no cofre local** (`business/vault/`, que ja funciona e protege). **O Ops PERGUNTA antes de comecar** — so segue se o expert topar. E e tudo-ou-nada: faz a sequencia completa ou fica no cofre local; meio-1Password nao serve.
+**🔒 REGRA DE OURO — INEGOCIAVEL (se for configurar):**
 - **NUNCA pedir, ver, ecoar ou colar um token/credencial no chat.** Token que aparece no chat = COMPROMETIDO (vai pro historico). Tem que ser revogado.
 - O token vai **DIRETO no arquivo, pelo PROPRIO expert**. O Ops **prepara a linha**; o expert **cola o valor**. O Ops **nunca ve** o token.
 - Na migracao das chaves, o Ops **NAO le os valores** do `business/vault/` pra recriar (isso jogaria a credencial no contexto). Quem move os valores e o expert.
 ---
-**PASSO COMUM (as DUAS opcoes precisam): instalar o `op` CLI**
-O token sozinho nao faz nada — ele e so a permissao (uma string). O `op` CLI e o PROGRAMA que usa essa permissao no terminal. **CLI + autenticacao = dupla**: sem CLI da `command not found`; sem auth, ele nao sabe em que conta entrar.
-- Instalar: macOS `brew install 1password-cli` · Windows `winget install AgileBits.1Password.CLI`
-- Verificar: `op --version`
-Com o `op` instalado, escolher COMO ele autentica — A ou B:
----
-**OPCAO A — Service Account / token no shell (A MELHOR: headless, o Auroq usa sozinho)**
+**PROCESSO PADRAO (a sequencia ideal):**
-**NAO precisa de plano Business** — funciona no plano normal. O agente acessa as chaves automaticamente, sem biometria.
-1. No painel: **my.1password.com → Developer → Service Accounts → Criar** → dar acesso **so ao vault "Claude"** → **gerar o token** (`ops_...` — aparece UMA vez so, copiar na hora).
-2. **Token DIRETO no `~/.zshenv`, SEM passar pelo chat.** O Ops deixa a linha pronta:
-   `# export OP_SERVICE_ACCOUNT_TOKEN="COLE_AQUI"`
-   E instrui o expert a colar o valor real de um jeito que NAO ecoa na tela (rodar no terminal dele):
+1. **App desktop** — instalar o app do 1Password (1password.com/downloads — o programa, nao a extensao do navegador) e logar na conta.
+2. **CLI `op`** — instalar (e o programa que usa a credencial no terminal): macOS `brew install 1password-cli` · Windows `winget install AgileBits.1Password.CLI` · verificar `op --version`.
+3. **Conectar o `op` ao app** — no app: **Settings → Developer → "Integrate with 1Password CLI"** + ligar Touch ID (Mac) / Windows Hello (Win). Testar: `op vault list` (pede biometria) — listou = CLI conectado.
+4. **Vault "Claude"** — garantir que existe o vault **Claude** (so o que o Auroq vai acessar). Criar no app se ainda nao tiver.
+5. **Gerar o token (Service Account)** — my.1password.com → Developer → Service Accounts → Criar → dar acesso **Read + Write ao vault "Claude"** → gerar o token (`ops_...`, aparece UMA vez so, copiar na hora). **NAO precisa de plano Business.**
+6. **Colar o token no shell SEM expor na conversa.** O Ops prepara a linha (`# export OP_SERVICE_ACCOUNT_TOKEN="COLE_AQUI"`) e o expert cola o valor de um jeito que NAO ecoa (rodar no terminal dele):
    `read -s TOKEN && echo "export OP_SERVICE_ACCOUNT_TOKEN=\"$TOKEN\"" >> ~/.zshenv && unset TOKEN`
-   (cola o token, da Enter — nada aparece na tela, vai direto pro arquivo). O Ops NAO ve o valor.
-3. Recarregar: abrir um terminal novo, ou `source ~/.zshenv`.
-4. Testar: `op vault list` — listou os vaults = conectado.
----
-**OPCAO B — Desktop app + Touch ID (alternativa interativa)**
-Autentica pela biometria do app desktop, em vez do token. Funciona, mas exige o app aberto e biometria a cada sessao — nao serve pra automacao headless (o agente roda sozinho).
-1. Instalar o **app desktop** do 1Password (1password.com/downloads — o programa, nao a extensao do navegador) + logar.
-2. No app: **Settings → Developer → "Integrate with 1Password CLI"** + ligar Touch ID (Mac) / Windows Hello (Win).
-3. Testar: `op vault list` (pede biometria) — listou = conectado.
+   Recarregar: terminal novo ou `source ~/.zshenv`. **O Ops NUNCA ve o valor.**
+7. **Pronto** — o Auroq usa o token (headless, so o vault Claude); o expert gerencia tudo pelo app. Testar: `op read "op://Claude/<item>/<campo>"` retorna o valor.
-> **A (Service Account) e a recomendada** pro Auroq: o agente usa as chaves sozinho. A B obriga voce a autenticar toda hora.
+(Por que app + CLI **e** token: o app+CLI deixa voce gerenciar o cofre por biometria; o token Service Account e o que o agente usa pra operar sozinho, sem precisar de Touch ID a cada vez.)
 ---
@@ -899,9 +880,10 @@ Autentica pela biometria do app desktop, em vez do token. Funciona, mas exige o
 3. Migrado e testado → **esvaziar** `business/vault/` (deixar so um `README.md` dizendo que as chaves vivem no 1Password).
 **GATE DE VERIFICACAO (BLOCKING):**
-1. `op vault list` funciona (Opcao A: via token no env; Opcao B: via biometria)
-2. `op read "op://Claude/<item>/<campo>"` retorna o valor de uma credencial migrada
-3. `business/vault/` sem chave em texto plano (so o README)
+1. `op --version` retorna versao (CLI instalado)
+2. `op vault list` funciona (CLI conectado ao app)
+3. `op read "op://Claude/<item>/<campo>"` retorna o valor (token no env funcionando)
+4. `business/vault/` sem chave em texto plano (so o README)
 → SE qualquer um falhar: resolver antes de dizer "conectado".
 **Nota honesta:** mesmo cifrado, na hora que o agente USA a chave ela passa pelo terminal. O 1Password resolve o ARMAZENAMENTO (nao ficar em texto plano no disco/nuvem) — que e o grosso do risco.

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "auroq-os",
-  "version": "2.0.2",
+  "version": "2.0.3",
   "description": "Auroq OS — Sistema Operacional de IA para Experts",
   "bin": {
     "auroq-os": "bin/auroq-os.js"