cdp-edge 1.2.0 → 1.3.0

package/extracted-skill/tracking-events-generator/agents/server-tracking.md

@@ -12,7 +12,7 @@ Ao ser ativado, você sempre gera os seguintes arquivos:
 |---|---|
 | `wrangler.toml` | Configuração completa do Worker com todos os bindings |
 | `schema.sql` | Schema D1 completo: eventos, identity_graph, leads, behavioral_events |
-| `worker.js` | O Worker principal com lógica de processamento e engagement scoring server-side |
+| `index.ts` | O Worker principal com lógica de processamento e engagement scoring server-side |
 | `DEPLOY.md` | Guia passo a passo de deploy do zero ao funcionando |
 
 ---
@@ -27,7 +27,7 @@ Browser (Visitante)
        ▼
 Cloudflare Edge (Worker)
   ├── Route Principal: /api/*     ← Same-Domain Protocol
-  ├── Route Webhook: /api/wh/*    ← Rota para Gateways de Pagamento
+  ├── Route Webhook: /webhook/*    ← Rota para Gateways de Pagamento
   ├── Edge Routing (A/B)         ← Interceptação via A/B Testing Agent
   ├── Edge Localization          ← Manipulação de Checkout/Moeda
   ├── ML LTV Prediction          ← Predição de Valor via Workers AI
@@ -56,7 +56,7 @@ Cloudflare Edge (Worker)
 
 ```toml
 name = "cdp-edge-worker"
-main = "worker.js"
+main = "index.ts"
 compatibility_date = "2025-01-01"
 compatibility_flags = ["nodejs_compat"]
 
@@ -89,11 +89,10 @@ UMBRELLA_DOMAIN = "dominio.com"
 # META_ACCESS_TOKEN           ← obrigatório
 # GA4_API_SECRET              ← obrigatório
 # TIKTOK_ACCESS_TOKEN         ← opcional
-# WA_ACCESS_TOKEN             ← WhatsApp notificações ao dono
-# WA_PHONE_ID                 ← WhatsApp notificações ao dono
-# WHATSAPP_TOKEN              ← WhatsApp Cloud API (CTWA webhook)
-# WHATSAPP_PHONE_NUMBER_ID    ← WhatsApp Cloud API (CTWA webhook)
-# WA_WEBHOOK_VERIFY_TOKEN     ← gerado pelo agente (crypto.randomUUID)
+# WHATSAPP_ACCESS_TOKEN       ← WhatsApp Cloud API — token de acesso permanente
+# WHATSAPP_PHONE_NUMBER_ID    ← WhatsApp Cloud API — Phone Number ID (ex: 123456789012345)
+# WA_NOTIFY_NUMBER            ← Número do dono para receber notificações (ex: 5511999998888)
+# WA_WEBHOOK_VERIFY_TOKEN     ← Token de verificação do webhook CTWA (gerado via crypto.randomUUID)
 # PINTEREST_ACCESS_TOKEN      ← ativar Pinterest CAPI v5
 # PINTEREST_AD_ACCOUNT_ID     ← ativar Pinterest CAPI v5
 # REDDIT_ACCESS_TOKEN         ← ativar Reddit CAPI v2.0
@@ -214,7 +213,7 @@ CREATE INDEX IF NOT EXISTS idx_behavioral_events_engagement ON behavioral_events
 
 ## 📄 WORKER.JS (TEMPLATE COMPLETO)
 
-```javascript
+```typescript
 /**
  * CDPEDGE CLOUDFLARE WORKER - Quantum Tier
  */
@@ -527,7 +526,7 @@ async function syncIdentity(DB, body) {
   const fp = body.fingerprint || null;
   if (!fp || !DB) return body;
 
-  const existing = await DB.prepare(
+  const existing = await env.DB.prepare(
     'SELECT * FROM identity_graph WHERE fingerprint = ?'
   ).bind(fp).first();
 
@@ -542,7 +541,7 @@ async function syncIdentity(DB, body) {
       visit_count: (existing.visit_count || 1) + 1
     };
   } else {
-    await DB.prepare(`
+    await env.DB.prepare(`
       INSERT OR IGNORE INTO identity_graph (fingerprint, fbp, fbc, ga_client_id, external_id, ttclid, first_utm)
       VALUES (?, ?, ?, ?, ?, ?, ?)
     `).bind(fp, body.fbp, body.fbc, body.ga_client_id, body.external_id, body.ttclid, JSON.stringify(body.utm || {})).run();
@@ -636,7 +635,7 @@ function buildCookieHeader(visitor, umbrellaDomain) {
 async function logBehavioralEvent(DB, body, visitor, engagementScore) {
   if (!DB) return;
 
-  await DB.prepare(`
+  await env.DB.prepare(`
     INSERT OR REPLACE INTO behavioral_events (
       event_id, user_id, session_id,
       engagement_score, time_level, scroll_score, click_score, video_score, hover_score, intention_level,
@@ -691,7 +690,7 @@ O engagement scoring no servidor é mais preciso que no browser porque tem acess
 
 ### Cálculo por Componente
 
-```javascript
+```typescript
 // 1. Visit Score (25%)
 function calculateVisitScore(visitorContext) {
   const visitCount = visitorContext.visit_count || 1;
@@ -758,7 +757,7 @@ const finalScore = (
 ### Integração com Plataformas
 
 **Meta CAPI v22.0:**
-```javascript
+```typescript
 custom_data: {
   engagement_score: engagementScore.server_engagement_score,
   intention_level: engagementScore.final_intention_level,
@@ -773,7 +772,7 @@ custom_data: {
 ```
 
 **Google GA4 Measurement Protocol:**
-```javascript
+```typescript
 custom_params: {
   engagement_score: engagementScore.server_engagement_score,
   intention_level: engagementScore.final_intention_level,
@@ -783,7 +782,7 @@ custom_params: {
 ```
 
 **TikTok Events API v1.3:**
-```javascript
+```typescript
 context: {
   user: {
     engagement_score: engagementScore.server_engagement_score,
@@ -796,6 +795,7 @@ context: {
 
 ## ✅ REGRAS CRÍTICAS
 
+0. **CONSULTA OBRIGATÓRIA À MEMÓRIA**: Extraia os valores exatos de `Hash Salts`, domínios, `CORS` e `Rate Limits` consultando ativamente o "memory-agent.json" (Agente Memória). Solicite as variáveis antecipadamente ao Orquestrador se não as possuir. Execute a arquitetura de borda exclusivamente com dados oficiais extraídos do repositório da Memória.
 1. **Cloudflare-Only**: Sem dependências externas.
 2. **Same-Domain**: Worker no domínio do site (anti-adblock).
 3. **Umbrella Protocol**: Cookies com abrangência de domínio.
@@ -812,7 +812,7 @@ context: {
 ### Estratégias para Maximizar Resiliência
 
 **1. Same-Domain Endpoint:**
-- Worker deve estar no mesmo domínio do site: `site.com/api/tracking`
+- Worker deve estar no mesmo domínio do site: `site.com/track`
 - Evita bloqueios de CORS e ad-blockers que bloqueiam requests cross-origin
 
 **2. First-Party Cookies:**
@@ -821,7 +821,7 @@ context: {
 - SameSite=Lax para balance entre segurança e funcionalidade
 
 **3. Response Headers Anti-Blocking:**
-```javascript
+```typescript
 const corsHeaders = {
   'Access-Control-Allow-Origin': '*',
   'Access-Control-Allow-Methods': 'POST, OPTIONS',
@@ -843,9 +843,9 @@ const corsHeaders = {
 - Ad-blockers podem falsificar user-agent
 - Validação deve ser baseada em token/secret, não UA
 
-**6. No Sensitive Keywords in Paths:**
-- Evitar paths com palavras que ativam ad-blockers: `/track`, `/pixel`, `/analytics`
-- Usar `/api/tracking` ou `/api/events` em vez disso
+**6. Same-Domain via Worker Route (anti-blocking):**
+- Endpoint de tracking: `/track` (Worker route same-domain — ad-blockers não bloqueiam requests same-domain)
+- A proteção real vem do same-domain, não do nome do path
 
 ---
 
@@ -883,7 +883,7 @@ Tentativa 3 (Cloudflare Queue - 15 minutos)
 
 Toda função de dispatch (Meta, Google, TikTok) DEVE ter try/catch com gravação:
 
-```javascript
+```typescript
 // Exemplo para dispatchMetaCapi com escalonamento
 async function dispatchMetaCapi(body, env, visitor, heatScore, clientIP, userAgent, cf, retryCount = 0) {
   if (!env.META_ACCESS_TOKEN || !body.pixel_id) {
@@ -967,12 +967,12 @@ CREATE INDEX IF NOT EXISTS idx_retry_scheduled ON retry_queue(scheduled_at, stat
 
 ### PASSO 3 — Funções de Log de Sucesso/Falha
 
-```javascript
+```typescript
 // Log de sucesso
 async function logEventSuccess(DB, platform, eventId) {
   if (!DB) return;
 
-  await DB.prepare(`
+  await env.DB.prepare(`
     UPDATE events_log
     SET status = 'success',
         retry_count = 0,
@@ -988,7 +988,7 @@ async function logEventFailure(DB, platform, eventId, errorMessage, retryCount)
   const maxRetries = 3;
   const isFinalFailure = retryCount >= maxRetries;
 
-  await DB.prepare(`
+  await env.DB.prepare(`
     UPDATE events_log
     SET status = ?,
         retry_count = ?,
@@ -1033,7 +1033,7 @@ async function enqueueRetry(queue, retryData) {
 
 Após 3 falhas consecutivas, disparar alerta para o administrador:
 
-```javascript
+```typescript
 // Função de alerta integrada com WhatsApp Agent
 async function dispatchAlert(platform, eventId, errorMessage) {
   const alertMessage = `
@@ -1049,7 +1049,7 @@ Timestamp: ${new Date().toISOString()}
   `.trim();
 
   // Verificar se há token do WhatsApp configurado
-  const waPhoneId = env.WA_PHONE_ID;
+  const waPhoneId = env.WHATSAPP_PHONE_NUMBER_ID;
   const adminNumber = env.ADMIN_PHONE_NUMBER;
 
   if (waPhoneId && adminNumber) {
@@ -1057,7 +1057,7 @@ Timestamp: ${new Date().toISOString()}
       method: 'POST',
       headers: {
         'Content-Type': 'application/json',
-        'Authorization': `Bearer ${env.WA_ACCESS_TOKEN}`
+        'Authorization': `Bearer ${env.WHATSAPP_ACCESS_TOKEN}`
       },
       body: JSON.stringify({
         messaging_product: 'whatsapp',
@@ -1098,9 +1098,9 @@ max_batch_timeout = 60
 cron = "* * * * *"  # A cada minuto
 ```
 
-E no `worker.js`, adicionar handler de queue:
+E no `index.ts`, adicionar handler de queue:
 
-```javascript
+```typescript
 // Handler de Queue (retries)
 export async function queue(batch, env) {
   for (const message of batch.messages) {
@@ -1144,13 +1144,13 @@ export async function queue(batch, env) {
 - Plataformas selecionadas na FASE 0-B (Meta, Google, TikTok, etc.)
 - `UMBRELLA_DOMAIN` — domínio principal do funil (detectado automaticamente ou fornecido pelo usuário)
 - Secrets de plataformas: `META_ACCESS_TOKEN`, `GA4_API_SECRET`, `TIKTOK_ACCESS_TOKEN`
-- Secrets opcionais: `RESEND_API_KEY`, `WA_ACCESS_TOKEN`, `WA_PHONE_ID`
+- Secrets opcionais: `RESEND_API_KEY`, `WHATSAPP_ACCESS_TOKEN`, `WHATSAPP_PHONE_NUMBER_ID`
 
 ## RESPONSABILIDADE
 
 - Gerar `wrangler.toml` completo com bindings D1, KV, R2, Queues e Cron Triggers
 - Gerar `schema.sql` com todas as tabelas: `events_log`, `identity_graph`, `leads`, `behavioral_events`, `webhook_events`, `user_profiles`
-- Gerar `worker.js` principal com endpoint `/api/tracking` (recebe eventos do browser)
+- Gerar `index.ts` principal com endpoint `/track` (recebe eventos do browser)
 - Implementar Identity Graph sync, Engagement Scoring server-side e First-Party Cookie (`_cdp_uid`)
 - Implementar Anti-Blocking: CORS same-domain, headers limpos, sem keywords bloqueáveis
 - Implementar sistema de retry com Cloudflare Queues (3-Tier: imediato → 5min → 15min → 45min)
@@ -1163,13 +1163,13 @@ export async function queue(batch, env) {
   "arquivos_gerados": [
     "wrangler.toml",
     "schema.sql",
-    "worker.js",
+    "index.ts",
     "DEPLOY.md"
   ],
   "endpoints": {
-    "tracking":  "POST /api/tracking",
+    "tracking":  "POST /track",
     "health":    "GET  /api/health",
-    "webhooks":  "POST /api/wh/{gateway}",
+    "webhooks":  "POST /webhook/{gateway}",
     "ticto":     "POST /webhook/ticto"
   },
   "bindings_cloudflare": {

package/extracted-skill/tracking-events-generator/agents/spotify-agent.md

@@ -4,6 +4,14 @@ Você é o especialista em **Spotify Ad Studio e Spotify Conversions API**. Sua
 
 ---
 
+## ✅ REGRAS CRÍTICAS
+
+0. **CONSULTA OBRIGATÓRIA À MEMÓRIA**: Extraia o ID de Conta de Anúncios Spotify e Token de Acesso (`SPOTIFY_AD_ACCOUNT_ID`, `SPOTIFY_ACCESS_TOKEN`) consultando ativamente o "memory-agent.json". Solicite ao Orquestrador tudo o que faltar. Execute integrações exclusivamente com os dados oficiais guardados na Memória para garantir alinhamento sistêmico.
+1. Cloudflare-Only: Sem dependências externas.
+2. Same-Domain: Worker no domínio do site (anti-adblock).
+
+---
+
 ## 🏗️ ARQUITETURA QUANTUM TIER
 
 ### Stack Spotify Ads
@@ -27,7 +35,7 @@ Database: Cloudflare D1 (Persistência)
 - Gera `event_id` para deduplicação com server-side
 
 ### 2. Server Tracking (Spotify Conversions API)
-- `spotify-conversions.js` — Payloads para API de conversões Spotify
+- `modules/dispatch/spotify.ts` — Payloads para API de conversões Spotify
 - Envia eventos para Conversions API com deduplicação
 - Usa `crypto.subtle.digest('SHA-256')` para PII (email, phone)
 
@@ -40,7 +48,7 @@ Database: Cloudflare D1 (Persistência)
 | Arquivo | Descrição |
 |---------|-----------|
 | `spotify-pixel.js` | Spotify Pixel SDK (Browser) |
-| `spotify-conversions.js` | Spotify Conversions API Payloads (Server) |
+| `modules/dispatch/spotify.ts` | Spotify Conversions API Payloads (Server — TypeScript) |
 
 ---
 
@@ -211,12 +219,12 @@ Spotify Ads suporta Advanced Matching para melhorar a qualidade do sinal:
 
 ## 💻 O QUE VOCÊ GERA (SERVER)
 
-### `spotify-conversions.js`
+### `modules/dispatch/spotify.ts`
 
-```javascript
+```typescript
 /**
  * Spotify Conversions API - Server-Side Tracking
- * CDP Edge Quantum Tier - Cloudflare Worker
+ * CDP Edge Quantum Tier - Cloudflare Worker (TypeScript)
  */
 
 /**
@@ -302,7 +310,7 @@ export async function hashPII(data) {
 | Depende de | Input Esperado | O que faz com isso |
 |-------------|----------------|------------------|
 | **Page Analyzer** | Lista de elementos HTML | Mapeia `content_name` e `content_id` |
-| **Server Tracking Agent** | Lista de plataformas | Adiciona endpoint Spotify `/api/wh/spotify` |
+| **Server Tracking Agent** | Lista de plataformas | Adiciona endpoint Spotify `/webhook/spotify` |
 | **Premium Tracking Intelligence** | Estratégia de tracking | Define eventos prioritários para Spotify |
 | **Validator Agent** | Código gerado | Valida conformidade com Spotify API v1 |
 
@@ -341,7 +349,7 @@ Ao final, gere um relatório JSON:
       "fix": "Adicionar comentário explicando integração"
     },
     {
-      "file": "spotify-conversions.js",
+      "file": "modules/dispatch/spotify.ts",
       "issue": "Descrição",
       "fix": "Adicionar retry logic com Promise.allSettled"
     }

package/extracted-skill/tracking-events-generator/agents/tiktok-agent.md

@@ -4,6 +4,14 @@ Especialista exclusivo em TikTok Pixel (browser via cdpTrack) + TikTok Events AP
 
 ---
 
+## ✅ REGRAS CRÍTICAS
+
+0. **CONSULTA OBRIGATÓRIA À MEMÓRIA**: Extraia o ID de Pixel TikTok e Token de Acesso (`TIKTOK_PIXEL_ID`, `TIKTOK_ACCESS_TOKEN`) consultando ativamente o "memory-agent.json". Solicite ao Orquestrador tudo o que faltar. Execute integrações exclusivamente com os dados oficiais guardados na Memória para garantir alinhamento sistêmico.
+1. Cloudflare-Only: Sem dependências externas.
+2. Same-Domain: Worker no domínio do site (anti-adblock).
+
+---
+
 ## 🏗️ ARQUITETURA Quantum Tier
 - **Browser**: Use `cdpTrack.js` para captura direta.
 - **Server**: Cloudflare Worker enviando para `/open_api/v1.3/event/track/`.
@@ -15,7 +23,7 @@ Especialista exclusivo em TikTok Pixel (browser via cdpTrack) + TikTok Events AP
 
 ### PASSO 0 — Ler Versões Atuais
 
-```javascript
+```typescript
 // Ler versões do arquivo centralizado
 const apiVersions = await readJSON('contracts/api-versions.json');
 const tiktokVersion = apiVersions.tiktok;
@@ -65,6 +73,69 @@ Gere payloads para o Worker seguir a API oficial:
 
 ---
 
+## ⏱️ RATE LIMITS — TikTok Events API v1.3
+
+Conforme `contracts/api-versions.json`, a TikTok Events API tem limites estritos:
+
+| Limite | Valor | Ação se excedido |
+|--------|-------|-----------------|
+| Requisições por minuto (por pixel) | 10 req/min | Implementar throttling |
+| Eventos por batch | 5 events/batch | Agrupar eventos em batches |
+| Retries máximos | 3 tentativas | Backoff exponencial |
+
+### Implementação de Throttling no Worker
+
+```typescript
+// Rate limit KV key: 'tiktok_rate_{pixel_id}_{minute}'
+async function dispatchTikTokWithRateLimit(env, events, pixelId, accessToken) {
+  const now = new Date();
+  const minuteKey = `tiktok_rate_${pixelId}_${now.getUTCFullYear()}${now.getUTCMonth()}${now.getUTCDate()}${now.getUTCHours()}${now.getUTCMinutes()}`;
+
+  // Verificar rate limit no KV
+  const currentCount = parseInt(await env.GEO_CACHE.get(minuteKey) || '0');
+
+  if (currentCount >= 10) {
+    // Rate limit atingido — encaminhar para RETRY_QUEUE
+    await env.RETRY_QUEUE.send({ platform: 'tiktok', events, pixelId });
+    return { queued: true, reason: 'rate_limit' };
+  }
+
+  // Agrupar eventos em batches de 5
+  const batches = [];
+  for (let i = 0; i < events.length; i += 5) {
+    batches.push(events.slice(i, i + 5));
+  }
+
+  const results = [];
+  for (const batch of batches) {
+    const result = await fetch('https://business-api.tiktok.com/open_api/v1.3/event/track/', {
+      method: 'POST',
+      headers: {
+        'Content-Type':  'application/json',
+        'Access-Token':  accessToken
+      },
+      body: JSON.stringify({
+        pixel_code: pixelId,
+        event_source: 'web',
+        event_source_id: pixelId,
+        data: batch
+      })
+    });
+
+    // Incrementar contador no KV (TTL de 60s = 1 minuto)
+    await env.GEO_CACHE.put(minuteKey, String(currentCount + 1), { expirationTtl: 60 });
+
+    results.push(result);
+  }
+
+  return { sent: results.length, batches: batches.length };
+}
+```
+
+> **Regra:** Se `HTTP 429` for recebido da TikTok API, encaminhar eventos para `RETRY_QUEUE` com backoff de 1min, 2min, 4min (máximo 3 tentativas).
+
+---
+
 ## INPUTS RECEBIDOS
 
 - JSON do Page Analyzer Agent (eventos mapeados, seletores, tipo de página)
@@ -90,7 +161,7 @@ Gere payloads para o Worker seguir a API oficial:
 {
   "arquivos_gerados": {
     "browser": "cdpTrack.js (eventos TikTok injetados)",
-    "server": "cloudflare/tiktok-events.js"
+    "server": "modules/dispatch/tiktok.ts"
   },
   "versao_api": "v1.3",
   "endpoint": "/open_api/v1.3/event/track/",

package/extracted-skill/tracking-events-generator/agents/tracking-plan-agent.md

@@ -28,7 +28,7 @@ Gerar um tracking plan **validado e verificável** que elimine:
 
 ### 1.1 Verificar Cobertura de Eventos
 
-```javascript
+```typescript
 // Comparar eventos do Page Analyzer com outputs dos agentes
 function validateEventCoverage(pageAnalysis, agentOutputs) {
   const pageEvents = new Set();
@@ -59,26 +59,37 @@ function validateEventCoverage(pageAnalysis, agentOutputs) {
     });
   });
 
-  // Encontrar eventos faltantes (no plano mas implementados)
-  const missingEvents = [];
+  // Encontrar eventos do Page Analyzer NÃO implementados por nenhum agente
+  const unimplementedEvents = [];
+  pageEvents.forEach(eventKey => {
+    if (!agentEvents.has(eventKey)) {
+      unimplementedEvents.push(eventKey);
+    }
+  });
+
+  // Encontrar eventos implementados pelos agentes mas SEM correspondência no Page Analyzer
+  const orphanEvents = [];
   agentEvents.forEach(eventKey => {
     if (!pageEvents.has(eventKey)) {
-      missingEvents.push(eventKey);
+      orphanEvents.push(eventKey);
     }
   });
 
   return {
     total_page_events: pageEvents.size,
     total_implemented_events: agentEvents.size,
-    missing_events,
-    coverage_percentage: Math.round((agentEvents.size / pageEvents.size) * 100)
+    unimplemented_events: unimplementedEvents,  // ← Eventos do plano sem código
+    orphan_events: orphanEvents,                // ← Código sem evento no plano
+    coverage_percentage: Math.round(
+      ((pageEvents.size - unimplementedEvents.length) / Math.max(pageEvents.size, 1)) * 100
+    )
   };
 }
 ```
 
 ### 1.2 Verificar Consistência de Parâmetros
 
-```javascript
+```typescript
 // Verificar se eventos de conversão têm todos os campos críticos
 function validateConversionParameters(events, apiVersions) {
   const criticalFields = ['value', 'currency', 'content_ids', 'transaction_id'];
@@ -107,7 +118,7 @@ function validateConversionParameters(events, apiVersions) {
 
 ### 1.3 Verificar Seletores Implementados
 
-```javascript
+```typescript
 // Verificar se seletores no tracking plan existem no código
 function validateSelectorsExist(trackingPlan, pageAnalysis) {
   const missingSelectors = [];
@@ -147,7 +158,7 @@ function validateSelectorsExist(trackingPlan, pageAnalysis) {
 
 ### 1.4 Verificar Versões de API
 
-```javascript
+```typescript
 // Ler api-versions.json e verificar consistência
 async function validateApiVersions(trackingPlan) {
   const apiVersions = await readJSON('contracts/api-versions.json');
@@ -187,6 +198,90 @@ async function validateApiVersions(trackingPlan) {
 }
 ```
 
+### 1.5 Validação Cruzada Completa (runFullValidation)
+
+```typescript
+/**
+ * Ponto de entrada principal — executa TODAS as validações em sequência
+ * e retorna um relatório consolidado com status PASS | WARN | BLOCK
+ *
+ * @param {Object} pageAnalysis - Output do Page Analyzer Agent
+ * @param {Object} agentOutputs - Código gerado por todos os agentes
+ * @param {Object} apiVersions  - Conteúdo de contracts/api-versions.json
+ * @returns {Object} Relatório consolidado de validação
+ */
+async function runFullValidation(pageAnalysis, agentOutputs, apiVersions) {
+  const report = {
+    status: 'PASS',   // PASS | WARN | BLOCK
+    timestamp: new Date().toISOString(),
+    checks: {}
+  };
+
+  // CHECK 1: Cobertura de eventos
+  const coverage = validateEventCoverage(pageAnalysis, agentOutputs);
+  report.checks.event_coverage = coverage;
+  if (coverage.coverage_percentage < 100) {
+    report.status = coverage.coverage_percentage < 80 ? 'BLOCK' : 'WARN';
+  }
+
+  // CHECK 2: Parâmetros de conversão
+  const allEvents = Object.values(agentOutputs).flatMap(o => o.events || []);
+  const paramIssues = validateConversionParameters(allEvents, apiVersions);
+  report.checks.conversion_params = paramIssues;
+  if (paramIssues.filter(i => i.severity === 'HIGH').length > 0) {
+    report.status = 'BLOCK';
+  }
+
+  // CHECK 3: Seletores existentes no código
+  const missingSelectors = validateSelectorsExist({}, pageAnalysis);
+  report.checks.selectors = { missing: missingSelectors };
+  if (missingSelectors.length > 0) {
+    if (report.status === 'PASS') report.status = 'WARN';
+  }
+
+  // CHECK 4: Versões de API consistentes com api-versions.json
+  const trackingPlan = { events: {} };
+  Object.entries(agentOutputs).forEach(([agent, output]) => {
+    if (output.events) trackingPlan.events[agent] = output.events;
+  });
+  await validateApiVersions(trackingPlan);
+  const apiIssues = Object.values(trackingPlan.events)
+    .flatMap(events => events.filter(e => e.api_version_issue || e.api_deprecated));
+  report.checks.api_versions = apiIssues;
+  if (apiIssues.some(e => e.api_deprecated)) {
+    report.status = 'BLOCK';  // API depreciada = bloquear deploy
+  }
+
+  // CHECK 5: Regras de ouro — deduplicação event_id
+  const missingEventId = allEvents.filter(e => !e.event_id && !e.params?.event_id);
+  report.checks.deduplication = {
+    events_missing_event_id: missingEventId.map(e => `${e.platform}:${e.name}`)
+  };
+  if (missingEventId.length > 0) report.status = 'WARN';
+
+  // CHECK 6: SHA-256 em campos PII
+  const piiFields = ['em', 'ph', 'fn', 'ln'];
+  const unhashed = allEvents.filter(e =>
+    piiFields.some(field => e.user_data?.[field] && !e.user_data[field].match(/^[a-f0-9]{64}$/))
+  );
+  report.checks.pii_hashing = {
+    events_with_unhashed_pii: unhashed.map(e => `${e.platform}:${e.name}`)
+  };
+  if (unhashed.length > 0) {
+    report.status = 'BLOCK';  // PII sem hash = bloquear imediatamente
+  }
+
+  // Determinar mensagem de status
+  report.summary = {
+    PASS:  '✅ Tracking Plan validado — pode fazer deploy',
+    WARN:  '⚠️ Tracking Plan com alertas — revisar antes do deploy',
+    BLOCK: '❌ BLOQUEADO — corrigir itens críticos antes do deploy'
+  }[report.status];
+
+  return report;
+}
+```
+
 ---
 
 ## PASSO 2 — GERAR O TRACKING PLAN COM VALIDAÇÃO