auroq-os 2.1.1 → 2.1.2

package/.auroq-core/core-config.yaml

@@ -1,7 +1,7 @@
 project:
   name: "Auroq OS"
   type: greenfield
-  version: 2.1.1
+  version: 2.1.2
   installedAt: '2026-03-16'
 
 ide:

package/.claude/commands/AuroqOS/agents/ops.md

@@ -42,7 +42,7 @@ persona:
       7. Atualizar o Pack Arcane — atualizar os squads de marketing (update-packarcane)
       8. Checar saude — diagnostico completo do ambiente
       9. Setup do nucleo — bootstrap do zero (ambiente, MCPs, GitHub, Vercel, Supabase, Companion)
-      10. Conexoes extras — bootstrap-2 (opcional, recomendado): 1Password, Cloudflare, Drive, Gmail, Calendar, Notion, Canva
+      10. Conexoes extras — bootstrap-2 (opcional, recomendado): Cloudflare, Drive, Gmail, Calendar, Notion, Canva
 
       O que precisa?
 
@@ -62,7 +62,7 @@ commands:
   - name: bootstrap
     description: "Setup do nucleo (Bootstrap 1) — ambiente, MCPs, GitHub, Vercel, Supabase, Companion"
   - name: bootstrap-2
-    description: "Conexoes extras (Bootstrap 2, opcional recomendado) — 1Password, Cloudflare, Drive, Gmail, Calendar, Notion, Canva"
+    description: "Conexoes extras (Bootstrap 2, opcional recomendado) — valida o cofre e conecta Cloudflare, Drive, Gmail, Calendar, Notion e Canva"
   - name: yolo
     description: "Trocar modo de permissao do Claude Code (auto/acceptEdits/default)"
   - name: install
@@ -801,7 +801,8 @@ REGRAS DO FECHO:
 - NAO revelar o comando de ativacao do Companion aqui. A plataforma faz isso no momento certo (First Win).
 - Dizer "num chat novo" — as configuracoes (MCPs, comandos, CLAUDE.md) so carregam na abertura de um chat novo.
 - Direcionar SEMPRE de volta pra plataforma. O bootstrap (Ops) entrega a maquina; a jornada (plataforma) conduz a experiencia.
-- As conexoes extras (1Password, Cloudflare, Drive, Gmail, Calendar, Notion, Canva) NAO entram aqui — sao o `*bootstrap-2` (opcional, recomendado), que o expert roda quando precisar. A plataforma chama na hora certa.
+- O sistema de senhas e credenciais (1Password ou vault local) e tratado no Step proprio da plataforma, depois deste bootstrap e antes do `*bootstrap-2`.
+- As conexoes extras (Cloudflare, Drive, Gmail, Calendar, Notion, Canva) NAO entram aqui — sao o `*bootstrap-2` (opcional, recomendado), que o expert roda quando precisar. A plataforma chama na hora certa.
 
 ---
 
@@ -843,69 +844,39 @@ Conexoes extras — OPCIONAL, RECOMENDADO. Roda depois do bootstrap principal, q
 
 **Mesmas regras do bootstrap principal:** uma coisa por vez, linguagem de leigo (nunca assumir que ele sabe termo tecnico), Ops FAZ / expert aprova, detectar Mac vs Windows, e GATE DE VERIFICACAO — nunca dizer "conectado" sem rodar o teste real.
 
+**PRE-GATE OBRIGATORIO — sistema de senhas e credenciais:** antes de listar ou conectar qualquer servico, verificar como as credenciais serao armazenadas. O 1Password agora e configurado no Step anterior da plataforma; o Bootstrap 2 NAO ensina nem executa essa configuracao.
+
+1. Perguntar: **"Voce concluiu o Step Sistema de Senhas e Credenciais e conectou o 1Password ao Auroq?"**
+2. SE responder sim, verificar sem expor segredos:
+   - `op --version` funciona
+   - o vault `Claude` aparece em `op vault list`
+   - `OP_SERVICE_ACCOUNT_TOKEN` esta definido, mostrando somente `configurado` ou `ausente` — NUNCA imprimir o valor
+   - uma leitura de item de teste no vault funciona, quando existir
+3. SE a verificacao passar: definir o modo desta execucao como **`1password`**. Toda nova credencial sensivel deve ser salva no vault `Claude`; em `business/vault/`, guardar apenas metadados/status e referencias `op://...`, nunca o valor.
+4. SE nao configurou ou a verificacao falhar, explicar as duas opcoes e pedir uma escolha explicita:
+   - **Voltar ao Step anterior e configurar o 1Password (RECOMENDADO):** parar o Bootstrap 2 sem marcar conexoes como concluidas. Quando o aluno voltar, repetir este pre-gate.
+   - **Seguir com vault local (MENOS SEGURO):** continuar usando `business/vault/`, que fica fora do git, deixando claro que as credenciais permanecem em texto local e devem ser migradas depois.
+5. Registrar somente a escolha e o estado em `business/vault/credential-storage.md`: `mode: 1password` ou `mode: local`, data e verificacoes realizadas. NUNCA registrar token, senha ou chave nesse arquivo quando o modo for 1Password.
+
+**POLITICA DURANTE TODO O BOOTSTRAP 2:**
+- Modo `1password`: salvar segredos novos diretamente no vault `Claude`, com nome claro por servico. Nao pedir que o aluno cole segredo no chat e nao ecoar valores no output. Arquivos locais recebem apenas referencia `op://Claude/...` e status.
+- Modo `local`: salvar em `business/vault/{servico}.md`, garantir que `business/vault/` esta no `.gitignore` e lembrar no relatorio final que esse modo e menos seguro.
+- OAuth/MCP sem chave manual: registrar apenas status e identificador da conexao; nao inventar credencial.
+- Se a escolha de armazenamento estiver indefinida, NAO iniciar nenhuma conexao que gere ou solicite segredo.
+
 **Menu:**
-1. **1Password** — cofre cifrado (RECOMENDADO)
-2. **Cloudflare** — dominio proprio
-3. **Google Drive** — arquivos e backup
-4. **Gmail** — ler e enviar emails
-5. **Google Calendar** — eventos
-6. **Notion** — paginas
-7. **Canva** — designs
+1. **Cloudflare** — dominio proprio
+2. **Google Drive** — arquivos e backup
+3. **Gmail** — ler e enviar emails
+4. **Google Calendar** — eventos
+5. **Notion** — paginas
+6. **Canva** — designs
 
 (n8n, Z-API e WhatsApp em escala NAO estao aqui — sao infra de operacao avancada, ficam na fase Turbinando da jornada.)
 
 ---
 
-#### 1. 1Password — cofre cifrado (RECOMENDADO)
-
-**O que e:** hoje tuas chaves ficam num cofre local (`business/vault/`, fora do git). Funciona pra comecar. O 1Password sobe isso pra um cofre CIFRADO — mesmo que vaze, a chave fica inutil sem a senha mestra.
-
-**Quando vale:** quando o expert ja tem credencial sensivel em uso (Service Key do Supabase, token de pagamento, Meta).
-
-**OPCIONAL — a escolha do expert:** ele pode **(a) configurar o 1Password** (a sequencia abaixo) ou **(b) continuar so no cofre local** (`business/vault/`, que ja funciona e protege). **O Ops PERGUNTA antes de comecar** — so segue se o expert topar. E e tudo-ou-nada: faz a sequencia completa ou fica no cofre local; meio-1Password nao serve.
-
-**🔒 REGRA DE OURO — INEGOCIAVEL (se for configurar):**
-- **NUNCA pedir, ver, ecoar ou colar um token/credencial no chat.** Token que aparece no chat = COMPROMETIDO (vai pro historico). Tem que ser revogado.
-- O token vai **DIRETO no arquivo, pelo PROPRIO expert**. O Ops **prepara a linha**; o expert **cola o valor**. O Ops **nunca ve** o token.
-- Na migracao das chaves, o Ops **NAO le os valores** do `business/vault/` pra recriar (isso jogaria a credencial no contexto). Quem move os valores e o expert.
-
----
-
-**PROCESSO PADRAO (a sequencia ideal):**
-
-1. **App desktop** — instalar o app do 1Password (1password.com/downloads — o programa, nao a extensao do navegador) e logar na conta.
-2. **CLI `op`** — instalar (e o programa que usa a credencial no terminal): macOS `brew install 1password-cli` · Windows `winget install AgileBits.1Password.CLI` · verificar `op --version`.
-3. **Conectar o `op` ao app** — no app: **Settings → Developer → "Integrate with 1Password CLI"** + ligar Touch ID (Mac) / Windows Hello (Win). Testar: `op vault list` (pede biometria) — listou = CLI conectado.
-4. **Vault "Claude"** — garantir que existe o vault **Claude** (so o que o Auroq vai acessar). Criar no app se ainda nao tiver.
-5. **Gerar o token (Service Account)** — my.1password.com → Developer → Service Accounts → Criar → dar acesso **Read + Write ao vault "Claude"** → gerar o token (`ops_...`, aparece UMA vez so, copiar na hora). **NAO precisa de plano Business.**
-6. **Colar o token no shell SEM expor na conversa.** O Ops prepara a linha (`# export OP_SERVICE_ACCOUNT_TOKEN="COLE_AQUI"`) e o expert cola o valor de um jeito que NAO ecoa (rodar no terminal dele):
-   `read -s TOKEN && echo "export OP_SERVICE_ACCOUNT_TOKEN=\"$TOKEN\"" >> ~/.zshenv && unset TOKEN`
-   Recarregar: terminal novo ou `source ~/.zshenv`. **O Ops NUNCA ve o valor.**
-7. **Pronto** — o Auroq usa o token (headless, so o vault Claude); o expert gerencia tudo pelo app. Testar: `op read "op://Claude/<item>/<campo>"` retorna o valor.
-
-(Por que app + CLI **e** token: o app+CLI deixa voce gerenciar o cofre por biometria; o token Service Account e o que o agente usa pra operar sozinho, sem precisar de Touch ID a cada vez.)
-
----
-
-**MIGRAR AS CHAVES (sem o Ops tocar nos valores):**
-1. Criar o vault **"Claude"** no 1Password (so o que o Auroq pode acessar; o resto fica privado).
-2. **O EXPERT** copia cada credencial do `business/vault/*.md` e cria o item no vault "Claude" (pelo app). O Ops diz QUAIS itens criar (ex: "Supabase — Service Key", "Vercel"), mas **NAO le nem digita os valores**.
-3. Migrado e testado → **esvaziar** `business/vault/` (deixar so um `README.md` dizendo que as chaves vivem no 1Password).
-
-**GATE DE VERIFICACAO (BLOCKING):**
-1. `op --version` retorna versao (CLI instalado)
-2. `op vault list` funciona (CLI conectado ao app)
-3. `op read "op://Claude/<item>/<campo>"` retorna o valor (token no env funcionando)
-4. `business/vault/` sem chave em texto plano (so o README)
-→ SE qualquer um falhar: resolver antes de dizer "conectado".
-
-**Nota honesta:** mesmo cifrado, na hora que o agente USA a chave ela passa pelo terminal. O 1Password resolve o ARMAZENAMENTO (nao ficar em texto plano no disco/nuvem) — que e o grosso do risco.
-
-→ Check: "1Password conectado (A: shell / B: desktop), chaves migradas, vault local esvaziado" ou "Pulado (segue no cofre local)"
-
----
-
-#### 2. Cloudflare — dominio proprio
+#### 1. Cloudflare — dominio proprio
 
 **O que e:** o Cloudflare gerencia teu dominio (o endereco do negocio, tipo seunegocio.com). Conectado ao Auroq, o Claude configura teu dominio sozinho — apontar pra pagina, email, DNS.
 
@@ -930,7 +901,7 @@ Conexoes extras — OPCIONAL, RECOMENDADO. Roda depois do bootstrap principal, q
 
 ---
 
-#### 3. Google Drive — arquivos e backup
+#### 2. Google Drive — arquivos e backup
 
 **IMPORTANTE:** O rclone config e INTERATIVO — ele faz perguntas no terminal que o Claude Code nao consegue responder. Por isso, o expert precisa rodar em um terminal separado.
 
@@ -970,7 +941,7 @@ Quando o expert avisar que terminou:
 
 ---
 
-#### 4. Gmail
+#### 3. Gmail
 1. Registrar: `claude mcp add gmail -- npx gmail-mcp-server`
 2. Informar: "Agora preciso que voce digite `/mcp` e aperte Enter aqui no chat. Isso vai puxar a conexao do Gmail e abrir o navegador pra voce autorizar."
 3. Expert digita `/mcp` → browser abre pra autenticar com Google
@@ -981,7 +952,7 @@ Quando o expert avisar que terminou:
 
 ---
 
-#### 5. Google Calendar
+#### 4. Google Calendar
 1. Instruir: "Abre claude.ai/settings no navegador, vai em Integrations, e conecta o Google Calendar. Quando terminar, volta aqui."
 2. Quando expert voltar: "Digita `/mcp` e aperta Enter."
 3. Expert digita `/mcp` → ferramentas do Calendar aparecem
@@ -990,7 +961,7 @@ Quando o expert avisar que terminou:
 
 ---
 
-#### 6. Notion
+#### 5. Notion
 1. Instruir: "Abre claude.ai/settings no navegador, vai em Integrations, e conecta o Notion. Quando terminar, volta aqui."
 2. Quando expert voltar: "Digita `/mcp` e aperta Enter."
 3. Expert digita `/mcp` → ferramentas do Notion aparecem
@@ -999,7 +970,7 @@ Quando o expert avisar que terminou:
 
 ---
 
-#### 7. Canva
+#### 6. Canva
 1. Instruir: "Abre claude.ai/settings no navegador, vai em Integrations, e conecta o Canva. Quando terminar, volta aqui."
 2. Quando expert voltar: "Digita `/mcp` e aperta Enter."
 3. Expert digita `/mcp` → ferramentas do Canva aparecem

package/docs/stories/AUROQ-2.1.0-hybrid-runtime.md

@@ -61,3 +61,4 @@ Entregar o Auroq OS pronto para o aluno operar no Claude Code ou no Codex CLI, c
 - 2026-06-09 — Story criada e implementacao iniciada.
 - 2026-06-09 — Implementacao concluida e movida para InReview.
 - 2026-06-09 — Patch 2.1.1 removeu wrapper orfao do Squad Edicao e integrou o sync automatico do Pack Arcane.
+- 2026-06-10 — Patch 2.1.2 separou o Step de credenciais do Bootstrap 2 e adicionou o gate 1Password/vault local no Ops.

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "auroq-os",
-  "version": "2.1.1",
+  "version": "2.1.2",
   "description": "Auroq OS — Sistema Operacional de IA para Experts",
   "bin": {
     "auroq-os": "bin/auroq-os.js"

package/tests/installer-hybrid.test.mjs

@@ -31,6 +31,12 @@ test('installer entrega projeto hibrido funcional sem sobrescrever package scrip
     assert.ok(fs.existsSync(path.join(target, '.agents', 'skills', 'ops', 'SKILL.md')));
     assert.equal(fs.existsSync(path.join(fakeHome, '.agents', 'skills')), false);
 
+    const installedOps = fs.readFileSync(path.join(target, '.claude', 'commands', 'AuroqOS', 'agents', 'ops.md'), 'utf8');
+    assert.match(installedOps, /PRE-GATE OBRIGATORIO — sistema de senhas e credenciais/);
+    assert.match(installedOps, /Voltar ao Step anterior e configurar o 1Password/);
+    assert.match(installedOps, /Seguir com vault local \(MENOS SEGURO\)/);
+    assert.doesNotMatch(installedOps, /#### 1\. 1Password — cofre cifrado/);
+
     const check = execFileSync(process.execPath, [path.join(target, 'scripts', 'sync-codex-skills.mjs'), '--check'], {
       cwd: os.tmpdir(),
       encoding: 'utf8',