cdp-edge 1.18.0 → 1.18.2

package/extracted-skill/tracking-events-generator/agents/devops-agent.md

@@ -18,6 +18,16 @@ Outros agentes que precisarem de deploy **delegam para você** via `*deploy`.
 
 ---
 
+## AUTONOMIA DE EXECUÇÃO
+
+**Você executa TODOS os comandos diretamente via `! <comando>` no terminal da sessão.**
+
+O usuário não executa nenhum comando wrangler. Você é o executor exclusivo. Quando receber `*deploy`, `*secrets`, `*migrate` ou `*smoke-test`, execute imediatamente usando a sintaxe `! wrangler ...` — nunca liste comandos "para o usuário rodar".
+
+A única exceção é `wrangler login` — esse o usuário precisa rodar UMA VEZ por conta própria, pois abre o browser. Após autenticado, você assume tudo.
+
+---
+
 ## CICLO DE DEPLOY AUTOMÁTICO
 
 ### Comando: `*deploy`
@@ -81,14 +91,28 @@ git status
 
 ## PROCEDURE `*migrate`
 
-Aplica migrações D1 em ordem:
+Aplica schemas D1 em ordem (todos idempotentes — `IF NOT EXISTS`):
 
 ```bash
-wrangler d1 execute cdp-edge-db --file=migrate-v2.sql --remote
-wrangler d1 execute cdp-edge-db --file=migrate-v3.sql --remote
-wrangler d1 execute cdp-edge-db --file=migrate-v4.sql --remote
-wrangler d1 execute cdp-edge-db --file=migrate-v5.sql --remote
+cd server-edge-tracker
+
+# Core tracking (sempre primeiro)
+wrangler d1 execute cdp-edge-db --file=schema.sql --remote
+
+# Migrations históricas
 wrangler d1 execute cdp-edge-db --file=migrate-v6.sql --remote
+
+# Fase 1: ML Clustering
+wrangler d1 execute cdp-edge-db --file=schema-segmentation.sql --remote
+
+# Fase 2: Bidding ML
+wrangler d1 execute cdp-edge-db --file=schema-bidding.sql --remote
+
+# Fase 3: A/B LTV Testing
+wrangler d1 execute cdp-edge-db --file=schema-ab-ltv.sql --remote
+
+# Fase 4: Fraud Detection
+wrangler d1 execute cdp-edge-db --file=schema-fraud.sql --remote
 ```
 
 Após cada migração: confirmar sucesso antes de prosseguir.
@@ -117,8 +141,8 @@ Configura todos os secrets do cliente na Cloudflare:
 # Obrigatórios
 wrangler secret put META_ACCESS_TOKEN
 wrangler secret put GA4_API_SECRET
-wrangler secret put WA_ACCESS_TOKEN
-wrangler secret put WA_PHONE_ID
+wrangler secret put WHATSAPP_ACCESS_TOKEN
+wrangler secret put WHATSAPP_PHONE_NUMBER_ID
 wrangler secret put WA_NOTIFY_NUMBER
 wrangler secret put WA_WEBHOOK_VERIFY_TOKEN
 

package/extracted-skill/tracking-events-generator/agents/email-agent.md

@@ -4,6 +4,33 @@ Você é o **Especialista em E-mail Transacional (Quantum Tier)** do CDP Edge, f
 
 ---
 
+## 🔗 FLUXO DE ATIVAÇÃO (Como este agente é chamado)
+
+O Email Agent é ativado pelo **Webhook Agent** após confirmação de compra ou captura de lead:
+
+```
+Webhook Agent (Hotmart/Kiwify/Ticto)
+    └─► ctx.waitUntil(sendEmail(env, type, payload))
+            │
+            ├─ type = 'purchase_confirmation' → email de confirmação de compra
+            ├─ type = 'lead_welcome'          → email de boas-vindas ao lead
+            └─ type = 'cart_abandonment'      → email de recuperação de carrinho
+```
+
+**Assinatura da função que este agente gera:**
+
+```javascript
+// Injetada no Worker principal (worker.js)
+export async function sendEmail(env, type, payload) {
+  const { to, name, product, value } = payload;
+  // ... implementação completa abaixo
+}
+```
+
+> O Webhook Agent importa `sendEmail` e chama via `ctx.waitUntil` para não bloquear resposta ao gateway de pagamento.
+
+---
+
 ## 📧 PROTOCOLOS DE ENVIO (Quantum Tier)
 
 1. **Resend API Excellence**:

package/extracted-skill/tracking-events-generator/agents/fingerprint-agent.md

@@ -21,6 +21,211 @@ Sempre que o usuário sangrar dinheiro por culpa de "Perda de Cookies/Atribuiç
 
 ---
 
+## 💻 IMPLEMENTAÇÃO REAL — cloudflare/fingerprint-middleware.js
+
+### Módulo completo para injetar no Worker
+
+```javascript
+/**
+ * Fingerprint Middleware — CDP Edge
+ * Edge-only signals: IP + Accept-Language + UA base + ASN
+ * LGPD/CCPA compliant: nenhum PII direto, hash efêmero
+ */
+
+// ─────────────────────────────────────────────────
+// 1. Geração do P-Hash (fingerprint de borda)
+// ─────────────────────────────────────────────────
+
+/**
+ * Gera hash identificador efêmero combinando sinais anônimos de borda.
+ * NUNCA usa Canvas, WebGL ou AudioContext (client-side) — apenas Edge signals.
+ *
+ * @param {Request} request - Request do Cloudflare Worker
+ * @returns {Promise<string>} p_hash — identificador efêmero de 16 chars
+ */
+export async function generatePHash(request) {
+  const ip          = request.headers.get('CF-Connecting-IP')  || 'unknown';
+  const acceptLang  = request.headers.get('Accept-Language')   || 'unknown';
+  const userAgent   = request.headers.get('User-Agent')        || 'unknown';
+  const asOrg       = request.cf?.asOrganization               || 'unknown';
+  const country     = request.cf?.country                      || 'unknown';
+
+  // Reduzir UA para base (remover versão minor — ex: "Chrome/120" não "Chrome/120.0.6099.71")
+  const uaBase = userAgent
+    .replace(/[\d.]+/g, (m) => m.split('.')[0])  // mantém só major version
+    .replace(/[^a-zA-Z0-9 /]/g, '')              // remove caracteres especiais
+    .slice(0, 60);                               // limitar tamanho
+
+  // Normalizar Accept-Language para idioma principal
+  const langBase = acceptLang.split(',')[0].split(';')[0].trim().slice(0, 5); // ex: "pt-BR"
+
+  // Concatenar sinais — ordem importa para consistência
+  const fingerprint = `${ip}|${langBase}|${uaBase}|${asOrg}|${country}`;
+
+  // SHA-256 → primeiros 16 hex chars (64 bits de entropia — suficiente para sess de 48h)
+  const encoder = new TextEncoder();
+  const data = encoder.encode(fingerprint);
+  const hashBuffer = await crypto.subtle.digest('SHA-256', data);
+  const hashArray = Array.from(new Uint8Array(hashBuffer));
+  const fullHash = hashArray.map(b => b.toString(16).padStart(2, '0')).join('');
+
+  return fullHash.slice(0, 16); // p_hash = 16 chars hex
+}
+
+// ─────────────────────────────────────────────────
+// 2. Registro do P-Hash no D1
+// ─────────────────────────────────────────────────
+
+/**
+ * Salva ou atualiza p_hash no D1 com UTMs da visita atual.
+ * Janela de restauração: 48h (configurável).
+ *
+ * @param {D1Database} db
+ * @param {string} pHash
+ * @param {Object} utmData - { utm_source, utm_medium, utm_campaign, utm_content, utm_term }
+ */
+export async function recordPHash(db, pHash, utmData) {
+  const hasUtm = utmData.utm_source || utmData.utm_medium || utmData.utm_campaign;
+
+  if (!hasUtm) {
+    // Visita sem UTM — só atualiza last_seen (não sobrescreve UTMs)
+    await db.prepare(`
+      UPDATE fingerprint_sessions
+      SET last_seen_at = datetime('now')
+      WHERE p_hash = ? AND last_seen_at > datetime('now', '-48 hours')
+    `).bind(pHash).run();
+    return;
+  }
+
+  // Visita COM UTM — inserir ou atualizar
+  await db.prepare(`
+    INSERT INTO fingerprint_sessions (p_hash, utm_source, utm_medium, utm_campaign, utm_content, utm_term, last_seen_at)
+    VALUES (?, ?, ?, ?, ?, ?, datetime('now'))
+    ON CONFLICT(p_hash) DO UPDATE SET
+      utm_source   = excluded.utm_source,
+      utm_medium   = excluded.utm_medium,
+      utm_campaign = excluded.utm_campaign,
+      utm_content  = excluded.utm_content,
+      utm_term     = excluded.utm_term,
+      last_seen_at = datetime('now')
+  `).bind(
+    pHash,
+    utmData.utm_source   || null,
+    utmData.utm_medium   || null,
+    utmData.utm_campaign || null,
+    utmData.utm_content  || null,
+    utmData.utm_term     || null
+  ).run();
+}
+
+// ─────────────────────────────────────────────────
+// 3. UTM Restoration Middleware
+// ─────────────────────────────────────────────────
+
+/**
+ * Recupera UTMs do D1 para um p_hash (janela 48h).
+ * Injeta de volta no payload CAPI quando a requisição chega sem UTMs.
+ *
+ * @param {D1Database} db
+ * @param {string} pHash
+ * @returns {Promise<Object|null>} UTMs restauradas ou null
+ */
+export async function restoreUtms(db, pHash) {
+  const row = await db.prepare(`
+    SELECT utm_source, utm_medium, utm_campaign, utm_content, utm_term
+    FROM fingerprint_sessions
+    WHERE p_hash = ?
+      AND last_seen_at > datetime('now', '-48 hours')
+      AND utm_source IS NOT NULL
+    LIMIT 1
+  `).bind(pHash).first();
+
+  return row || null;
+}
+
+/**
+ * Middleware principal — chamar no início do handler /track
+ *
+ * @param {Request} request
+ * @param {Object} env
+ * @param {Object} payload - payload já parseado do /track
+ * @returns {Promise<Object>} payload enriquecido com UTMs restauradas
+ */
+export async function fingerprintMiddleware(request, env, payload) {
+  try {
+    // 1. Gerar p_hash para esta visita
+    const pHash = await generatePHash(request);
+
+    // 2. Extrair UTMs do payload atual
+    const currentUtms = {
+      utm_source:   payload.utm_source   || null,
+      utm_medium:   payload.utm_medium   || null,
+      utm_campaign: payload.utm_campaign || null,
+      utm_content:  payload.utm_content  || null,
+      utm_term:     payload.utm_term     || null,
+    };
+
+    // 3. Se tem UTMs → registrar no D1 (atualiza para próximas visitas)
+    await recordPHash(env.DB, pHash, currentUtms);
+
+    // 4. Se NÃO tem UTMs → tentar restaurar do D1 (últimas 48h)
+    const hasCurrentUtm = currentUtms.utm_source || currentUtms.utm_campaign;
+    if (!hasCurrentUtm) {
+      const restoredUtms = await restoreUtms(env.DB, pHash);
+      if (restoredUtms) {
+        // Injetar UTMs restauradas no payload → creditam a campanha correta na CAPI
+        payload.utm_source   = restoredUtms.utm_source;
+        payload.utm_medium   = restoredUtms.utm_medium;
+        payload.utm_campaign = restoredUtms.utm_campaign;
+        payload.utm_content  = restoredUtms.utm_content;
+        payload.utm_term     = restoredUtms.utm_term;
+        payload._utm_restored = true; // flag para debug
+      }
+    }
+
+    // 5. Adicionar p_hash ao payload para uso pelo Identity Graph
+    payload.p_hash = pHash;
+
+  } catch (err) {
+    // Fail-safe: nunca bloquear o tracking por erro de fingerprint
+    console.error('[FingerprintMiddleware] Erro (fail-safe):', err.message);
+  }
+
+  return payload;
+}
+```
+
+### Schema D1 necessário
+
+```sql
+-- Adicionar a schema.sql
+CREATE TABLE IF NOT EXISTS fingerprint_sessions (
+  p_hash       TEXT PRIMARY KEY,
+  utm_source   TEXT,
+  utm_medium   TEXT,
+  utm_campaign TEXT,
+  utm_content  TEXT,
+  utm_term     TEXT,
+  last_seen_at TEXT DEFAULT (datetime('now'))
+);
+
+CREATE INDEX IF NOT EXISTS idx_fp_last_seen ON fingerprint_sessions(last_seen_at);
+```
+
+### Uso no worker.js
+
+```javascript
+// No início do handler /track, ANTES do fraud gate:
+import { fingerprintMiddleware } from './fingerprint-middleware.js';
+
+// Dentro do fetch handler:
+payload = await fingerprintMiddleware(request, env, payload);
+// A partir daqui, payload.utm_* estão restauradas (se disponíveis)
+// e payload.p_hash está disponível para o Identity Graph
+```
+
+---
+
 ## INPUTS RECEBIDOS
 
 - Headers da requisição Edge: `CF-Connecting-IP`, `Accept-Language`, `User-Agent`, `request.cf.asOrganization`

package/extracted-skill/tracking-events-generator/agents/google-agent.md

@@ -43,6 +43,124 @@ if (isVersionConflict) {
 
 ---
 
+## 🛡️ GOOGLE CONSENT MODE V2 — IMPLEMENTAÇÃO OBRIGATÓRIA
+
+> **CRÍTICO**: Sem Consent Mode v2, campanhas Google Ads em audiências europeias são rejeitadas.
+> Obrigatório para conformidade com GDPR (UE), LGPD (BR) e CCPA (EUA).
+
+### PASSO 1 — Inicialização (ANTES do gtag.js)
+
+Inserir **antes** do snippet do gtag.js no `<head>`:
+
+```html
+<!-- Google Consent Mode v2 — Inicializar NEGADO por padrão -->
+<script>
+  window.dataLayer = window.dataLayer || [];
+  function gtag() { dataLayer.push(arguments); }
+
+  // OBRIGATÓRIO: definir consent ANTES de qualquer gtag() de medição
+  gtag('consent', 'default', {
+    'ad_storage':            'denied',   // cookies de anúncio bloqueados até opt-in
+    'analytics_storage':     'denied',   // cookies de analytics bloqueados até opt-in
+    'ad_user_data':          'denied',   // envio de dados de usuário para Google Ads
+    'ad_personalization':    'denied',   // personalização de anúncios
+    'wait_for_update':       500         // aguardar CMP atualizar consentimento (ms)
+  });
+
+  // url_passthrough: preserva gclid/gbraid/wbraid na URL sem cookie
+  // Permite atribuição de cliques mesmo sem consent de analytics_storage
+  gtag('set', 'url_passthrough', true);
+
+  // ads_data_redaction: quando ad_storage=denied, reduz dados de clique enviados
+  gtag('set', 'ads_data_redaction', true);
+</script>
+
+<!-- Carregar gtag.js normalmente após o bloco acima -->
+<script async src="https://www.googletagmanager.com/gtag/js?id=GA4_MEASUREMENT_ID"></script>
+<script>
+  window.dataLayer = window.dataLayer || [];
+  function gtag() { dataLayer.push(arguments); }
+  gtag('js', new Date());
+  gtag('config', 'GA4_MEASUREMENT_ID', {
+    'send_page_view': false  // cdpTrack controla page_view manualmente
+  });
+</script>
+```
+
+### PASSO 2 — Atualizar Consent após Opt-in do usuário
+
+Integrar com o banner de cookies do site (LGPD/GDPR):
+
+```javascript
+// Chamar quando usuário ACEITAR todos os cookies
+function onConsentAccepted() {
+  gtag('consent', 'update', {
+    'ad_storage':         'granted',
+    'analytics_storage':  'granted',
+    'ad_user_data':       'granted',
+    'ad_personalization': 'granted'
+  });
+
+  // Opcional: disparar page_view após consent (se necessário)
+  gtag('event', 'page_view');
+}
+
+// Chamar quando usuário RECUSAR cookies não essenciais
+function onConsentDeclined() {
+  gtag('consent', 'update', {
+    'ad_storage':         'denied',
+    'analytics_storage':  'denied',
+    'ad_user_data':       'denied',
+    'ad_personalization': 'denied'
+  });
+}
+
+// Aceitar apenas cookies analíticos (sem ads)
+function onConsentAnalyticsOnly() {
+  gtag('consent', 'update', {
+    'ad_storage':         'denied',
+    'analytics_storage':  'granted',
+    'ad_user_data':       'denied',
+    'ad_personalization': 'denied'
+  });
+}
+```
+
+### PASSO 3 — Verificação (via Intelligence Agent)
+
+O Intelligence Agent verifica mensalmente se o Consent Mode está implementado:
+
+```javascript
+// Checklist mínimo no código gerado (browser tracking):
+// ✅ gtag('consent', 'default', {...}) ANTES do gtag.js
+// ✅ ad_storage: 'denied' no default
+// ✅ analytics_storage: 'denied' no default
+// ✅ ad_user_data: 'denied' no default
+// ✅ ad_personalization: 'denied' no default
+// ✅ url_passthrough: true ativo
+// ✅ gtag('consent', 'update', {...}) no callback do CMP/banner
+```
+
+### PASSO 4 — Integração com cdpTrack (Preservação de gclid)
+
+```javascript
+// O cdpTrack.js deve capturar gclid/gbraid/wbraid da URL mesmo sem consent
+// url_passthrough: true garante que os parâmetros são passados como parâmetros de URL,
+// não como cookies — respeitando consent de analytics_storage
+
+function captureGoogleClickId() {
+  const params = new URLSearchParams(window.location.search);
+  return {
+    gclid:  params.get('gclid')  || null,
+    gbraid: params.get('gbraid') || null,
+    wbraid: params.get('wbraid') || null
+  };
+}
+// Esses IDs são enviados para o Worker e salvos no D1 para Enhanced Conversions offline
+```
+
+---
+
 ## 🛠️ O QUE VOCÊ GERA
 
 ### 1. Browser (Direct SDK)

package/extracted-skill/tracking-events-generator/agents/intelligence-agent.md

@@ -71,7 +71,7 @@ export default {
     const url = new URL(request.url);
 
     // Handler principal
-    if (url.pathname === '/api/track') {
+    if (url.pathname === '/track') {
       return handleTracking(request, env, ctx);
     }
 
@@ -157,12 +157,12 @@ Timestamp: ${new Date().toISOString()}
   `.trim();
 
   // Enviar via WhatsApp Agent
-  if (env.WA_PHONE_ID && env.ADMIN_PHONE_NUMBER) {
-    await fetch(`https://graph.facebook.com/v22.0/${env.WA_PHONE_ID}/messages`, {
+  if (env.WHATSAPP_PHONE_NUMBER_ID && env.ADMIN_PHONE_NUMBER) {
+    await fetch(`https://graph.facebook.com/v22.0/${env.WHATSAPP_PHONE_NUMBER_ID}/messages`, {
       method: 'POST',
       headers: {
         'Content-Type': 'application/json',
-        'Authorization': `Bearer ${env.WA_ACCESS_TOKEN}`
+        'Authorization': `Bearer ${env.WHATSAPP_ACCESS_TOKEN}`
       },
       body: JSON.stringify({
         messaging_product: 'whatsapp',
@@ -363,3 +363,89 @@ INTELLIGENCE_SCHEDULE_MONTHLY = "0 3 1 * *"
 3. **Alerta Pré-ativo**: Antes de uma API ser descontinuada, alertar com 30 dias de antecedência
 4. **False-Positive Safe**: Se houver dúvida sobre versão de API, marcar como "verificação manual necessária" em vez de alerta
 5. **Backoff de Check**: Se o check falhar (API indisponível), tentar novamente em 1 hora (não disparar alerta imediato)
+6. **Anti-Spam**: Não disparar alerta se o mesmo problema já foi reportado nas últimas 24h
+7. **Prioridade Correta**: CRITICAL (agora), HIGH (até 1h), MEDIUM (no relatório)
+8. **Log de Falhas de Alerta**: Se WhatsApp falhar 3× consecutivas, registrar no D1 e tentar via CallMeBot fallback
+
+---
+
+## 🗄️ SCHEMA D1 — intelligence_logs
+
+Adicionar ao `server-edge-tracker/schema.sql`:
+
+```sql
+-- TABELA DE LOGS DO INTELLIGENCE AGENT
+CREATE TABLE IF NOT EXISTS intelligence_logs (
+  id INTEGER PRIMARY KEY AUTOINCREMENT,
+  run_type TEXT NOT NULL,              -- 'weekly' | 'monthly' | 'on-demand'
+  platforms_checked TEXT,              -- JSON array de plataformas verificadas
+  issues_found TEXT,                   -- JSON array de issues encontradas
+  issues_count INTEGER DEFAULT 0,
+  created_at TEXT DEFAULT (datetime('now'))
+);
+
+CREATE INDEX IF NOT EXISTS idx_intel_logs_type    ON intelligence_logs(run_type);
+CREATE INDEX IF NOT EXISTS idx_intel_logs_created ON intelligence_logs(created_at);
+```
+
+---
+
+## ✅ CHECKLIST DE IMPLEMENTAÇÃO
+
+Antes de considerar o scheduling implementado, verificar:
+
+- [ ] Cron triggers adicionados ao `wrangler.toml` (`0 2 * * 7` e `0 3 1 * *`)
+- [ ] Handlers `scheduled()` adicionados ao `worker.js` (Cloudflare usa `scheduled`, não `fetch`)
+- [ ] Schema D1 atualizado com tabela `intelligence_logs`
+- [ ] Funções de check de versão implementadas com endpoints reais
+- [ ] Funções de auditoria de privacidade implementadas
+- [ ] Sistema de alerta (WhatsApp/CallMeBot) integrado com anti-spam 24h
+- [ ] Logs de execução sendo salvos no D1
+- [ ] Memory Agent atualizado após cada check
+- [ ] Backoff implementado para evitar spam de alertas
+- [ ] Teste manual executado (`GET /api/intelligence/check`)
+
+---
+
+## INPUTS RECEBIDOS
+
+- `wrangler.toml` do Worker (para injetar Cron Triggers)
+- `worker.js` (para injetar handlers de `scheduled` events)
+- `schema.sql` (para adicionar tabela `intelligence_logs`)
+- Secrets: `WHATSAPP_PHONE_NUMBER_ID`, `WHATSAPP_ACCESS_TOKEN`, `ADMIN_PHONE_NUMBER` (para alertas)
+- `contracts/api-versions.json` (fonte de verdade das versões atuais)
+
+## RESPONSABILIDADE
+
+- Configurar Cron Triggers no `wrangler.toml`: semanal (domingo 02:00 UTC) e mensal (1º do mês 03:00 UTC)
+- Implementar handler `scheduled(event, env, ctx)` no Worker
+- Chamar `runIntelligenceWeekly()` quando `event.cron === "0 2 * * 7"`
+- Chamar `runIntelligenceMonthly()` quando `event.cron === "0 3 1 * *"`
+- Adicionar tabela `intelligence_logs` ao schema D1
+- Disparar alertas WhatsApp/CallMeBot ao admin apenas quando houver issues críticos
+- Evitar spam: não repetir alerta do mesmo issue em menos de 24h
+- Registrar resultado de cada execução no D1 (`intelligence_logs`)
+
+## SAÍDA
+
+```json
+{
+  "arquivos_modificados": [
+    "wrangler.toml (cron triggers adicionados)",
+    "worker.js (handler scheduled() adicionado)",
+    "schema.sql (tabela intelligence_logs adicionada)"
+  ],
+  "crons_configurados": {
+    "semanal": "0 2 * * 7 (domingo 02:00 UTC — check de versões)",
+    "mensal":  "0 3 1 * * (dia 1 03:00 UTC — auditoria privacidade)"
+  },
+  "endpoint_manual": "GET /api/intelligence/check",
+  "alertas": {
+    "canal_primario": "WhatsApp Meta Cloud API v22.0",
+    "canal_fallback": "CallMeBot",
+    "anti_spam": "24h cooldown por issue"
+  },
+  "d1_tabela": "intelligence_logs",
+  "secrets_necessarios": ["WHATSAPP_PHONE_NUMBER_ID", "WHATSAPP_ACCESS_TOKEN", "ADMIN_PHONE_NUMBER"]
+}
+```