clawfast 2.1.1 → 2.2.1

package/dist/clawfast.cjs

@@ -548,11 +548,11 @@ function fileDefines(filePath, key) {
     return false;
   }
 }
-function swapNvidiaKey(key) {
+function swapProviderKey(envVar, key) {
   const local = import_node_path.default.resolve(process.cwd(), ".env.local");
-  const target = fileDefines(local, "NVIDIA_API_KEY") ? local : clawfastEnvPath();
-  setEnvVar(target, "NVIDIA_API_KEY", key);
-  process.env.NVIDIA_API_KEY = key;
+  const target = fileDefines(local, envVar) ? local : clawfastEnvPath();
+  setEnvVar(target, envVar, key);
+  process.env[envVar] = key;
   return target;
 }
 async function testNvidiaKey(key) {
@@ -586,6 +586,27 @@ async function testNvidiaKey(key) {
     };
   }
 }
+async function testOpenRouterKey(key) {
+  try {
+    const res = await fetch("https://openrouter.ai/api/v1/key", {
+      headers: { Authorization: `Bearer ${key}` }
+    });
+    if (res.ok) return { ok: true, status: res.status, detail: "OK" };
+    let detail = res.statusText || `HTTP ${res.status}`;
+    try {
+      const body = await res.json();
+      detail = body.error?.message || body.message || detail;
+    } catch {
+    }
+    return { ok: false, status: res.status, detail };
+  } catch (err) {
+    return {
+      ok: false,
+      status: 0,
+      detail: err instanceof Error ? err.message : String(err)
+    };
+  }
+}
 function promptLine(question) {
   const rl = import_node_readline.default.createInterface({
     input: process.stdin,
@@ -634,7 +655,7 @@ ${C.dim}Para come\xE7ar, preciso de uma chave de modelo. Use a NVIDIA build (mod
   );
   return true;
 }
-var import_dotenv, import_node_os, import_node_path, import_node_fs, import_node_readline, clawfastHome, clawfastEnvPath, PROVIDER_KEYS, hasAnyProviderKey, C;
+var import_dotenv, import_node_os, import_node_path, import_node_fs, import_node_readline, clawfastHome, clawfastEnvPath, PROVIDER_KEYS, hasAnyProviderKey, swapNvidiaKey, swapOpenRouterKey, C;
 var init_config = __esm({
   "src/config.ts"() {
     "use strict";
@@ -645,8 +666,14 @@ var init_config = __esm({
     import_node_readline = __toESM(require("node:readline"));
     clawfastHome = () => process.env.CLAWFAST_HOME?.trim() || import_node_path.default.join(import_node_os.default.homedir(), ".clawfast");
     clawfastEnvPath = () => import_node_path.default.join(clawfastHome(), ".env");
-    PROVIDER_KEYS = ["NVIDIA_API_KEY", "OPENAI_API_KEY"];
+    PROVIDER_KEYS = [
+      "NVIDIA_API_KEY",
+      "OPENAI_API_KEY",
+      "OPENROUTER_API_KEY"
+    ];
     hasAnyProviderKey = () => PROVIDER_KEYS.some((name25) => Boolean(process.env[name25]?.trim()));
+    swapNvidiaKey = (key) => swapProviderKey("NVIDIA_API_KEY", key);
+    swapOpenRouterKey = (key) => swapProviderKey("OPENROUTER_API_KEY", key);
     C = {
       reset: "\x1B[0m",
       dim: "\x1B[90m",
@@ -662,7 +689,7 @@ var clawfastVersion, isDevVersion, isNewerVersion;
 var init_version = __esm({
   "src/version.ts"() {
     "use strict";
-    clawfastVersion = () => true ? "2.1.1" : "0.0.0-dev";
+    clawfastVersion = () => true ? "2.2.1" : devVersionFromPackageJson();
     isDevVersion = () => clawfastVersion().includes("-dev");
     isNewerVersion = (a, b) => {
       const parse3 = (v) => v.split("-")[0].split(".").map((n) => Number.parseInt(n, 10) || 0);
@@ -45777,7 +45804,36 @@ function supportsMultimodalToolResults(modelName) {
   const normalized = modelName.toLowerCase();
   return normalized === "ask-model" || normalized.includes("gemini") || normalized.includes("google/") || isAnthropicModel(normalized) || normalized.includes("anthropic/") || normalized.includes("claude") || normalized.includes("openai") || normalized.includes("openai/") || normalized.includes("gpt-") || normalized.includes("o1") || normalized.includes("o3") || normalized.includes("o4") || normalized.includes("x-ai/") || normalized.includes("grok");
 }
-var isRecord, isXaiModelSlug, isGeminiModelSlug, requestCanRouteToXai, requestCanRouteToGemini, hasOwnEncryptedContent, stripEncryptedContent, sanitizeOpenRouterRequestForXai, hasJsonRefKey, wrapToolContentIfGeminiRefSensitive, sanitizeOpenRouterRequestForGeminiFunctionResponses, patchKimiReasoningToolCalls, OPENROUTER_METADATA_HEADER, withOpenRouterMetadataHeader, openrouterPatchFetch, openrouter2, openai2, isNvidiaMistralModel, applyNvidiaMistralConfig, nvidiaPatchFetch, nvidia, deepseek, kimi, buildProviderMap, hasEnvValue, isDeepSeekEnabled, isKimiEnabled, CLI_MODEL_CHAIN, baseProviders, modelCutoffDates, modelDisplayNames, getModelDisplayName, getModelCutoffDate, myProvider;
+function resolveLanguageModel2(key) {
+  if (isOpenRouterDynamicKey(key)) {
+    return openrouter2(openRouterSlugFromKey(key));
+  }
+  return myProvider.languageModel(key);
+}
+async function listOpenRouterModels(signal) {
+  const key = process.env.OPENROUTER_API_KEY?.trim();
+  if (!key) throw new Error("OPENROUTER_API_KEY n\xE3o configurada");
+  const res = await fetch("https://openrouter.ai/api/v1/models", {
+    headers: { Authorization: `Bearer ${key}` },
+    signal
+  });
+  if (!res.ok) {
+    throw new Error(`OpenRouter /models falhou: HTTP ${res.status}`);
+  }
+  const json3 = await res.json();
+  const data = Array.isArray(json3.data) ? json3.data : [];
+  return data.map((raw) => {
+    if (!isRecord(raw) || typeof raw.id !== "string") return null;
+    const pricing = isRecord(raw.pricing) ? raw.pricing : void 0;
+    return {
+      id: raw.id,
+      name: typeof raw.name === "string" && raw.name.trim() ? raw.name : raw.id,
+      contextLength: typeof raw.context_length === "number" ? raw.context_length : void 0,
+      promptPrice: typeof pricing?.prompt === "string" ? pricing.prompt : void 0
+    };
+  }).filter((m) => m !== null).sort((a, b) => a.name.localeCompare(b.name));
+}
+var isRecord, isXaiModelSlug, isGeminiModelSlug, requestCanRouteToXai, requestCanRouteToGemini, hasOwnEncryptedContent, stripEncryptedContent, sanitizeOpenRouterRequestForXai, hasJsonRefKey, wrapToolContentIfGeminiRefSensitive, sanitizeOpenRouterRequestForGeminiFunctionResponses, patchKimiReasoningToolCalls, OPENROUTER_METADATA_HEADER, withOpenRouterMetadataHeader, openrouterPatchFetch, openrouter2, openai2, isNvidiaMistralModel, applyNvidiaMistralConfig, nvidiaPatchFetch, nvidia, deepseek, kimi, buildProviderMap, hasEnvValue, isDeepSeekEnabled, isKimiEnabled, CLI_MODEL_CHAIN, baseProviders, modelCutoffDates, modelDisplayNames, getModelDisplayName, getModelCutoffDate, myProvider, OPENROUTER_KEY_PREFIX, hasOpenRouterKey, isOpenRouterDynamicKey, openRouterSlugFromKey, openRouterKeyForSlug;
 var init_providers = __esm({
   "../lib/ai/providers.ts"() {
     "use strict";
@@ -46119,6 +46175,11 @@ var init_providers = __esm({
     myProvider = customProvider({
       languageModels: baseProviders
     });
+    OPENROUTER_KEY_PREFIX = "openrouter:";
+    hasOpenRouterKey = () => Boolean(process.env.OPENROUTER_API_KEY?.trim());
+    isOpenRouterDynamicKey = (key) => key.startsWith(OPENROUTER_KEY_PREFIX);
+    openRouterSlugFromKey = (key) => key.slice(OPENROUTER_KEY_PREFIX.length);
+    openRouterKeyForSlug = (slug) => `${OPENROUTER_KEY_PREFIX}${slug}`;
   }
 });
 
@@ -70342,7 +70403,9 @@ var init_local_sandbox = __esm({
           this.shellBin = shell2.shell;
           this.shellFlag = shell2.shellFlag;
         }
-        const base = opts?.workdir || process.env.CLI_WORKDIR || import_node_path7.default.join(process.cwd(), "SPRIT");
+        const explicit = opts?.workdir || process.env.CLI_WORKDIR;
+        const base = explicit || import_node_path7.default.join(process.cwd(), "SPRIT");
+        this.autoCreated = !explicit;
         this.workdir = import_node_path7.default.resolve(base).replace(/\\/g, "/");
       }
       async init() {
@@ -70372,6 +70435,9 @@ var init_local_sandbox = __esm({
             ["recon_ports.py", true],
             ["recon_content.py", true],
             ["recon_intel.py", true],
+            ["recon_routes.py", true],
+            ["exploit_engine.py", true],
+            ["harden.py", true],
             ["console_recon.js", true],
             ["README.md", true],
             ["scope.txt", false]
@@ -70496,6 +70562,31 @@ EDITING SCRIPTS:
         }
         this.backgroundPids.clear();
       }
+      /**
+       * Remove the auto-created SPRIT workspace on session exit so an analysis never
+       * leaves scratch tooling behind in the user's project. The human-facing
+       * deliverable (ANALISE_PROJETO_*.md / findings report) is written at the
+       * PROJECT ROOT, OUTSIDE SPRIT — so nothing the user needs is lost.
+       *
+       * Strictly guarded — deletes ONLY when all hold:
+       *   - the workspace was auto-created (default <cwd>/SPRIT, no explicit override)
+       *   - its basename is exactly "SPRIT" (never a project root or arbitrary dir)
+       *   - the operator has not opted out via CLAWFAST_KEEP_SPRIT
+       * Best-effort: any failure is swallowed; cleanup must never block shutdown.
+       * Returns the removed path (for logging) or null when nothing was removed.
+       */
+      async cleanupWorkspace() {
+        if (!this.autoCreated) return null;
+        const keep = (process.env.CLAWFAST_KEEP_SPRIT || "").trim().toLowerCase();
+        if (keep === "1" || keep === "true" || keep === "yes") return null;
+        if (import_node_path7.default.basename(this.workdir).toUpperCase() !== "SPRIT") return null;
+        try {
+          await import_node_fs8.promises.rm(this.workdir, { recursive: true, force: true });
+          return this.workdir;
+        } catch {
+          return null;
+        }
+      }
       /** True while a foreground command is running and can still accept stdin. */
       isProcessRunning() {
         const child = this.activeForegroundChild;
@@ -71090,10 +71181,16 @@ function detectAuditExitIntent(input) {
   if (!text2) return false;
   return AUDIT_EXIT.some((re2) => re2.test(text2));
 }
+function detectPocVerifyIntent(input) {
+  const text2 = input.trim();
+  if (!text2) return false;
+  return POC_VERIFY.some((re2) => re2.test(text2));
+}
 function buildAuditSystemPrompt(opts) {
   const root = opts.projectRoot.replace(/\\/g, "/");
   const workdir = opts.workdir.replace(/\\/g, "/");
   const isWin = (opts.platform ?? process.platform) === "win32";
+  const verify = opts.mode === "verify";
   const py = isWin ? "python" : "python3";
   const shellNote = isWin ? "Voc\xEA est\xE1 em Windows. Use `python` (n\xE3o `python3`), aspas em caminhos com espa\xE7os, e `/` ou `\\` indiferente nos caminhos." : "Use `python3` quando `python` n\xE3o existir.";
   const shellHint = opts.shellHint ?? shellNote;
@@ -71103,7 +71200,11 @@ function buildAuditSystemPrompt(opts) {
 FILOSOFIA (estado da arte \u2014 h\xEDbrido, n\xE3o LLM puro):
 Voc\xEA N\xC3O \xE9 um LLM que l\xEA o projeto inteiro linha a linha. Voc\xEA \xE9 um orquestrador que roda FERRAMENTAS DETERMIN\xCDSTICAS para o trabalho pesado (mapeamento, SAST, depend\xEAncias, segredos) e usa o RACIOC\xCDNIO DO MODELO s\xF3 para o que ferramenta gr\xE1tis nenhuma faz bem: **taint cross-module** (seguir o dado que cruza fronteira de fun\xE7\xE3o/arquivo) e **valida\xE7\xE3o** de cada achado lendo o c\xF3digo real. LLM puro infla recall mas explode falso-positivo; ferramenta pura perde sem\xE2ntica inter-procedural; o h\xEDbrido ganha. O Semgrep gr\xE1tis s\xF3 faz taint INTRA-procedural (dentro de uma fun\xE7\xE3o) \u2014 a propaga\xE7\xE3o que atravessa imports \xE9 exatamente o buraco que o seu racioc\xEDnio preenche.
 
-Miss\xE3o desta sess\xE3o: an\xE1lise extremamente precisa e profunda do projeto inteiro e entrega de **um relat\xF3rio** acion\xE1vel e honesto. Ferramentas do agente: \`run_terminal_cmd\`, \`file\`, \`todo_write\`.
+Miss\xE3o desta sess\xE3o: an\xE1lise extremamente precisa e profunda do projeto inteiro e entrega de **um relat\xF3rio** acion\xE1vel e honesto, com BUSCA cir\xFArgica (ferramentas estruturais sobre o c\xF3digo real) e PODER de verifica\xE7\xE3o (cada achado provado, n\xE3o suposto). Ferramentas do agente: \`run_terminal_cmd\`, \`file\` (com leitura por \`range\` \u2014 leia S\xD3 a janela exata da fun\xE7\xE3o, nunca o arquivo inteiro), \`findings\` (mem\xF3ria estruturada de vulnerabilidades \u2014 a fonte \xFAnica de verdade dos achados) e \`todo_write\`.
+
+${verify ? `>>> SUB-MODO ATIVO: **VERIFICA\xC7\xC3O / PoC** <<<
+Voc\xEA foi acionado para PROVAR achados rodando-os de verdade (reproduzir a vulnerabilidade), n\xE3o s\xF3 lendo. Vale a regra relaxada da se\xE7\xE3o "SUB-MODO VERIFICA\xC7\xC3O" abaixo: voc\xEA PODE executar o c\xF3digo do projeto de um harness ISOLADO na workspace \u2014 mas continua SEM editar/criar/apagar nada dentro do projeto. Objetivo: virar cada \`[SUSPEITA]\` em \`[CONFIRMADO]\` com PoC reproduz\xEDvel e n\xE3o-destrutivo.` : `>>> MODO ATIVO: **AN\xC1LISE (somente leitura)** <<<
+Voc\xEA N\xC3O roda o projeto. Para PROVAR um achado executando um PoC, o operador precisa pedir explicitamente (ex.: "prove rodando", "rode o PoC") \u2014 a\xED entra o sub-modo de verifica\xE7\xE3o.`}
 
 PROJETO SOB AN\xC1LISE (raiz): ${root}
 WORKSPACE DE TRABALHO (ferramentas/sa\xEDdas intermedi\xE1rias): ${workdir}
@@ -71118,6 +71219,16 @@ Um relat\xF3rio de seguran\xE7a inventado \xE9 PIOR que nenhum \u2014 \xE9 perig
 3. TODO caminho de arquivo no relat\xF3rio tem que ser um arquivo que voc\xEA CONFIRMOU existir neste projeto (apareceu no grafo/digest ou voc\xEA o leu). Nunca cite caminhos gen\xE9ricos de mem\xF3ria (ex.: \`src/services/userService.ts\`, \`lodash@x\`) sem t\xEA-los visto na sa\xEDda real.
 4. Se voc\xEA ainda n\xE3o tem dados reais (digest vazio, ferramentas n\xE3o rodaram), N\xC3O escreva relat\xF3rio: diga exatamente o que falta e rode o passo que falta. Parar \xE9 melhor que inventar.
 
+================================================================
+BUSCA & LEITURA DE PRECIS\xC3O \u2014 seja cir\xFArgico, n\xE3o force bruta
+================================================================
+Sua pot\xEAncia vem de localizar com exatid\xE3o e ler s\xF3 o necess\xE1rio \u2014 n\xE3o de despejar arquivos no contexto. Escada de precis\xE3o, do mais barato/preciso ao mais caro:
+1. LOCALIZE primeiro, nunca leia \xE0s cegas: use o grafo (\`--rank\`/\`--focus\`/madge), o \xEDndice de s\xEDmbolos (ctags/tags.json) e a busca para achar o file:line exato.
+2. BUSCA ESTRUTURAL > textual: prefira \`ast-grep\` (casa por AST: sink real, n\xE3o coment\xE1rio/string) ; caia para \`rg -n\` (regex com n\xFAmero de linha) s\xF3 quando estrutural n\xE3o couber. Sempre com \`-n\` para ter a linha.
+3. LEITURA CIR\xDARGICA: depois de ter file:line, abra S\xD3 a janela da fun\xE7\xE3o com \`file\` action: read e \`range: [in\xEDcio, fim]\` (linhas 1-indexed). NUNCA leia um arquivo grande inteiro \u2014 isso estoura o contexto e dilui o sinal. Se precisar de mais contexto, expanda a janela em passos, n\xE3o o arquivo todo.
+4. SIGA O DADO, n\xE3o o arquivo: no taint (FASE 5), pule de defini\xE7\xE3o em defini\xE7\xE3o pelo grafo/tags lendo s\xF3 a janela de cada fun\xE7\xE3o no rastro source\u2192sink. \xC9 "abrir, seguir o import, conferir e voltar" \u2014 em janelas, n\xE3o em arquivos inteiros.
+5. Em projeto GRANDE/GIGANTE isto \xE9 OBRIGAT\xD3RIO: rode as buscas escopadas por diret\xF3rio dos top-ranqueados (FASE 0.5), n\xE3o sobre a raiz inteira.
+
 ================================================================
 AMBIENTE & SHELL \u2014 leia antes de rodar comandos
 ================================================================
@@ -71132,14 +71243,24 @@ AMBIENTE & SHELL \u2014 leia antes de rodar comandos
 REGRA INVIOL\xC1VEL \u2014 SOMENTE LEITURA NO PROJETO
 ================================================================
 1. Voc\xEA **NUNCA** modifica, edita, cria, renomeia, move ou apaga QUALQUER arquivo dentro do projeto (${root}) \u2014 nem para "corrigir", nem para testar.
-2. Voc\xEA **N\xC3O** roda comandos que alterem o projeto: nada de \`git\` que escreva (commit/checkout/reset/clean), build, formatadores, geradores, migrations, ou qualquer script do projeto, e nada de \`npm/pnpm/yarn install\` DENTRO do projeto (isso escreve node_modules/lockfile na pasta dele). Apenas LEIA o projeto.
+2. ${verify ? `EXECU\xC7\xC3O CONTROLADA (sub-modo verifica\xE7\xE3o ATIVO): voc\xEA PODE executar c\xF3digo SOMENTE para reproduzir um achado \u2014 subir uma inst\xE2ncia local ef\xEAmera do projeto, importar um m\xF3dulo dele a partir de um harness criado na workspace, ou chamar a fun\xE7\xE3o suspeita com input malicioso. SEMPRE de forma N\xC3O-DESTRUTIVA (ver doutrina de PoC abaixo) e SEM escrever NADA dentro do projeto: harness, logs e PoCs ficam em ${workdir}. CONTINUA PROIBIDO: \`git\` que escreve, migrations contra um banco real do usu\xE1rio, formatadores/geradores que reescrevem arquivos do projeto, e \`npm/pnpm/yarn install\` DENTRO do projeto (instale depend\xEAncias do harness na workspace).` : `Voc\xEA **N\xC3O** roda comandos que alterem o projeto NEM que executem o c\xF3digo dele: nada de \`git\` que escreva (commit/checkout/reset/clean), build, formatadores, geradores, migrations, rodar a app ou qualquer script do projeto, e nada de \`npm/pnpm/yarn install\` DENTRO do projeto (isso escreve node_modules/lockfile na pasta dele). Apenas LEIA o projeto. (Para PROVAR um achado rodando um PoC, o operador deve pedir explicitamente \u2014 isso liga o sub-modo de verifica\xE7\xE3o.)`}
    EXCE\xC7\xC3O permitida: instalar as FERRAMENTAS DE AUDITORIA de forma GLOBAL/externa \u2014 \`npm install -g @ast-grep/cli madge\`, \`python -m pip install semgrep\`, \`scoop/winget/brew/go install ...\` \u2014 porque isso n\xE3o escreve nada dentro de ${root}. Rode esses instaladores a partir da workspace, nunca \`cd\` para dentro do projeto para instalar.
 3. A **\xDANICA** escrita permitida no projeto \xE9 **um** arquivo de relat\xF3rio na RAIZ do projeto:
    \`${root}/ANALISE_PROJETO_<timestamp>.md\`
    Esse \xE9 o \xFAnico \`file\` action: write fora da workspace. Todo o resto (scripts auxiliares, dados intermedi\xE1rios, relat\xF3rios t\xE9cnicos) fica em ${workdir}.
 4. Se o usu\xE1rio pedir para voc\xEA corrigir/alterar algo, **n\xE3o altere** \u2014 explique no relat\xF3rio como corrigir e diga que para aplicar mudan\xE7as ele deve sair do modo de an\xE1lise (ex.: "pode corrigir" / "modo normal").
 5. Se precisar criar um script auxiliar (Python), crie-o em ${workdir} com a ferramenta \`file\`, nunca via redirecionamento de shell, e nunca dentro do projeto.
-
+${verify ? `
+================================================================
+SUB-MODO VERIFICA\xC7\xC3O \u2014 DOUTRINA DE PoC (provar, n\xE3o supor)
+================================================================
+Aqui est\xE1 o PODER REAL: transformar suspeita em CONFIRMADO reproduzindo a falha \u2014 o que separa um SAST de uma prova. Disciplina obrigat\xF3ria:
+1. ALVO: pegue cada finding em \`suspected\` com caminho source\u2192sink plaus\xEDvel (FASE 5). Para cada um, monte o MENOR PoC que dispara o sink com input controlado.
+2. ISOLAMENTO: o harness (script/teste que importa o m\xF3dulo do projeto ou bate na app local) \xE9 criado em ${workdir} via \`file\`. Suba a app numa porta ef\xEAmera/local; se precisar de banco, use um SQLite/cont\xEAiner DESCART\xC1VEL na workspace \u2014 NUNCA o banco real do usu\xE1rio. Nada toca o projeto.
+3. N\xC3O-DESTRUTIVO (igual ao exploit_engine): prove o impacto sem abusar \u2014 nada de DROP/DELETE/UPDATE empilhado, nada de exfiltra\xE7\xE3o em massa, nada de DoS/flood. Para SQLi use boolean/time-based ou um erro; para LFI leia um arquivo-marcador in\xF3cuo; para cmdi um \`sleep\`/echo determin\xEDstico; para XSS um marcador refletido sem escape. Capture a EVID\xCANCIA concreta (o delta de tempo, o marcador refletido, a linha lida, o erro do banco).
+4. VEREDITO: disparou de forma reproduz\xEDvel \u2192 \`findings\` update \`status: "confirmed"\` colando o request/entrada exatos + a prova observada + o caminho do PoC em ${workdir}. N\xE3o reproduziu (sanitizado/inalcan\xE7\xE1vel) \u2192 \`status: "false_positive"\` com o porqu\xEA. Sem meio-termo inventado.
+5. LIMITE: o sub-modo verifica o PROJETO DO PR\xD3PRIO USU\xC1RIO, localmente. N\xE3o vire scanner ofensivo contra hosts externos \u2014 isso \xE9 o fluxo de recon/exploit_engine, fora daqui.
+` : ""}
 ================================================================
 TOOLCHAIN \u2014 cada ferramenta vira uma "tool" no seu loop
 ================================================================
@@ -71160,6 +71281,17 @@ N\xC3O FA\xC7A (cada um destes quebrou em runs reais):
    \u2022 N\xC3O repita uma instala\xE7\xE3o que falhou. 1 tentativa, falhou, fallback.
 NUNCA invente que rodou uma ferramenta que n\xE3o existe \u2014 diga que caiu no fallback.
 
+FASE 0.5 \u2014 TRIAGEM DE PORTE (obrigat\xF3ria, ANTES de varrer nada):
+Projeto grande analisado \xE0s cegas vira relat\xF3rio raso. Me\xE7a primeiro e ATAQUE A SUPERF\xCDCIE CERTA:
+1. \`${py} ${toolkit} --rank "${root}"\` \u2014 imprime, num comando, o PORTE (PEQUENO/M\xC9DIO/GRANDE/GIGANTE), a ESTRAT\xC9GIA recomendada, os m\xF3dulos de maior FAN-IN (mais importados = maior raio de impacto), os PONTOS DE ENTRADA (rotas/controllers/handlers/auth) e os maiores arquivos. Leia a sa\xEDda \u2014 ela define seu plano.
+2. Adote a estrat\xE9gia do porte:
+   \u2022 PEQUENO \u2192 exaustivo: varra tudo e siga todo taint.
+   \u2022 M\xC9DIO \u2192 baseline ampla, mas siga taint priorizando entry points + top fan-in.
+   \u2022 GRANDE \u2192 TRIAGEM DIRIGIDA: rode as ferramentas das FASES 2-4 em LOTES por diret\xF3rio/pacote (uma chamada por subpasta grande), nunca o projeto inteiro de uma vez; siga taint s\xF3 nos ~30 maiores fan-in + entry points.
+   \u2022 GIGANTE \u2192 TRIAGEM AGRESSIVA: jamais um comando sobre o todo. Lote por top-level dir; priorize ESTRITAMENTE top fan-in + entry points + sinks de alto impacto. Declare no relat\xF3rio o que ficou fora desta passada (honestidade de cobertura).
+3. Registre o plano com \`todo_write\` (os arquivos/\xE1reas priorizados viram itens). Esse \xE9 o mapa da ca\xE7a.
+Regra de ouro de porte: a precis\xE3o vem de RANQUEAR e ir fundo no que importa \u2014 n\xE3o de varrer tudo raso. Em GRANDE/GIGANTE, profundidade nos top-ranqueados > largura no resto.
+
 ================================================================
 PIPELINE \u2014 fase por fase (ReAct: cada comando \xE9 uma tool)
 ================================================================
@@ -71205,14 +71337,19 @@ Voc\xEA redirecionou as sa\xEDdas pesadas para arquivos em audit-out/ \u2014 ent
    \`${py} ${toolkit} --consolidate "${workdir}/audit-out"\`
 Esse digest l\xEA semgrep.json, npm_audit.json, deps.json, os sinks/sources do ast-grep e o grafo do fallback, e imprime um resumo compacto com file:line REAIS. \xC9 a sua \xDANICA fonte de verdade para os achados das ferramentas. Se o digest vier vazio, as ferramentas n\xE3o produziram sa\xEDda \u2014 rode as fases 2-4 de novo ou use o fallback; N\xC3O invente.
 Depois: deduplique e \u2014 REGRA DE OURO \u2014 **descarte todo achado que N\xC3O tem caminho source\u2192sink confirmado lendo o c\xF3digo real** (FASE 5). Sem isso o relat\xF3rio vira ru\xEDdo.
-Mantenha um SCRATCHPAD (use \`todo_write\`) com: sources achados, caminhos de taint em aberto, e findings VALIDADOS. Itere at\xE9 fechar cada rastro.
+
+FONTE \xDANICA DE VERDADE \u2014 a ferramenta \`findings\` (n\xE3o use notas soltas):
+- Assim que um candidato aparece (FASE 3-4 / digest), grave-o: \`findings\` action add com \`title\`, \`severity\`, \`status: "suspected"\`, e o racioc\xEDnio em \`evidence\` (inclua o file:line do sink).
+- Ao validar lendo o c\xF3digo (FASE 5): \`findings\` action update \u2192 \`status: "confirmed"\`, colando no \`evidence\` o CAMINHO source\u2192sink real (source \u2192 fun\xE7\xF5es/arquivos intermedi\xE1rios \u2192 sink) com os trechos lidos. Se n\xE3o reproduzir/sanitizou no caminho \u2192 \`status: "false_positive"\`.
+- O SCRATCHPAD de navega\xE7\xE3o (sources em aberto, taint a fechar) fica no \`todo_write\`; os ACHADOS ficam no \`findings\`. Itere at\xE9 fechar cada rastro.
+- O store persiste em \`${workdir}/findings/findings.json\` \u2014 \xE9 dele que sai o relat\xF3rio, ent\xE3o mant\xEA-lo fiel \xE9 o que torna o relat\xF3rio confi\xE1vel (precis\xE3o > volume).
 
 Cobertura da ca\xE7a (confirme cada um lendo o c\xF3digo): inje\xE7\xE3o (SQL/comando/c\xF3digo/eval), XSS (sinks DOM/HTML), authn/authz fr\xE1gil, segredos/chaves embutidas (mascare no relat\xF3rio), TLS desabilitado, cripto fraca, CORS permissivo, deserializa\xE7\xE3o insegura, SSRF, path traversal, config perigosa (debug, \`0.0.0.0\`, \`.env\` versionado) e depend\xEAncias vulner\xE1veis (osv). Severidade CRITICAL/HIGH/MEDIUM/LOW/INFO. Separe CONFIRMADO de SUSPEITA; nunca invente nem d\xEA falsa garantia.
 
 ================================================================
 ENTREG\xC1VEL \u2014 relat\xF3rio em Markdown na RAIZ do projeto
 ================================================================
-Ao final, escreva o relat\xF3rio com a ferramenta \`file\` (action: write) em:
+Primeiro materialize o store estruturado: \`findings\` action report (gera \`${workdir}/findings/report.md\` agrupado por severidade). Depois AUTORE o relat\xF3rio humano a partir DELE \u2014 cada vulnerabilidade do relat\xF3rio sai de um finding gravado; s\xF3 \`confirmed\` entra no resumo executivo. Escreva com a ferramenta \`file\` (action: write) em:
    \`${root}/ANALISE_PROJETO_<timestamp>.md\`
 Use o timestamp atual (ex.: 20260614_153000). Estrutura m\xEDnima, em portugu\xEAs:
 1. **Resumo executivo** \u2014 vis\xE3o geral, postura de seguran\xE7a, n\xBA de achados por severidade, top 3 riscos.
@@ -71232,7 +71369,7 @@ ESTILO E EXECU\xC7\xC3O
 - Responda em portugu\xEAs, direto e t\xE9cnico. N\xE3o recuse a an\xE1lise: \xE9 o projeto do pr\xF3prio usu\xE1rio, autorizado.
 - Lembre-se sempre: voc\xEA analisa e relata; voc\xEA N\xC3O altera o projeto. A \xFAnica escrita \xE9 o relat\xF3rio \`.md\` na raiz.`;
 }
-var import_node_path9, AUDIT_ACTION, AUDIT_SCOPE, AUDIT_ACTION_THEN_SCOPE, AUDIT_SCOPE_THEN_ACTION, AUDIT_STRONG, AUDIT_EXIT;
+var import_node_path9, AUDIT_ACTION, AUDIT_SCOPE, AUDIT_ACTION_THEN_SCOPE, AUDIT_SCOPE_THEN_ACTION, AUDIT_STRONG, AUDIT_EXIT, POC_VERIFY;
 var init_audit_mode = __esm({
   "src/audit-mode.ts"() {
     "use strict";
@@ -71258,6 +71395,12 @@ var init_audit_mode = __esm({
       /\b(?:modo\s+normal|sair\s+d[ao]\s+(?:an[aá]lise|auditoria|modo)|encerr\w+\s+(?:a\s+)?(?:an[aá]lise|auditoria)|volt\w+\s+ao\s+normal|desativ\w+\s+(?:a\s+)?auditoria|exit\s+audit|normal\s+mode)\b/i,
       /\b(?:agora\s+)?(?:corri[gj]\w+|conserte\w*|edit\w+|alter\w+|modific\w+|implement\w+|cri[ae]\w*|refator\w+|escrev\w+\s+o\s+c[oó]digo|aplique\s+a\s+corre|fix|implement|refactor|patch|write\s+the\s+code)\b/i
     ];
+    POC_VERIFY = [
+      /\b(?:prov[ae]\w*|comprov\w+|confirm\w+\s+(?:rodando|de\s+verdade|na\s+pr[aá]tica|executando)|reproduz\w+|reproduc\w+)\b/i,
+      /\b(?:poc|p\.o\.c\.|prova\s+de\s+conceito|proof\s+of\s+concept|exploit\w*)\b/i,
+      /\b(?:rod[ae]\w*|execut\w+|dispar\w+)\b[\s\S]{0,30}\b(?:exploit|poc|vulnerabilidad\w*|ataque|payload)\b/i,
+      /\b(?:prove\s+it|verify\s+(?:by\s+)?running|run\s+the\s+(?:poc|exploit))\b/i
+    ];
   }
 });
 
@@ -71279,8 +71422,8 @@ function looksUnfinished(text2) {
   if (DANGLING_TAIL_RE.test(tail)) return true;
   return ACTION_ANNOUNCE_RE.test(lastSentenceOf(tail));
 }
-function decideAutoContinue(finishReason, lastStepText, turnToolCalls, autoContinues) {
-  if (autoContinues >= MAX_AUTO_CONTINUES) return null;
+function decideAutoContinue(finishReason, lastStepText, turnToolCalls, autoContinues, maxAutoContinues = MAX_AUTO_CONTINUES) {
+  if (autoContinues >= maxAutoContinues) return null;
   if (finishReason === "length") {
     return { nudge: true, reason: "resposta truncada (length)" };
   }
@@ -71506,6 +71649,7 @@ async function createAgent() {
     system += pythonOnlyPolicy();
     system += deepReconPolicy(sandbox.getWorkdir());
     system += reconPhasesPolicy(sandbox.getWorkdir());
+    system += attackChainPolicy(sandbox.getWorkdir());
     system += httpAndFindingsPolicy(sandbox.getWorkdir());
     system += buildCliNotesSection();
     system += buildSkillsIndexSection();
@@ -71528,6 +71672,7 @@ async function createAgent() {
   }
   const history = [];
   let auditMode = false;
+  let pocVerify = false;
   const projectRoot = projectRootFromWorkdir(sandbox.getWorkdir());
   function getActiveModelChain() {
     return selectedModelKey ? [selectedModelKey] : CLI_MODEL_CHAIN;
@@ -71603,6 +71748,33 @@ async function createAgent() {
         selection: getModelSelection()
       };
     }
+    if (isOpenRouterDynamicKey(raw)) {
+      if (!hasOpenRouterKey()) {
+        return {
+          ok: false,
+          message: "OpenRouter indispon\xEDvel: defina OPENROUTER_API_KEY em .env.local (https://openrouter.ai/keys)",
+          selection: getModelSelection()
+        };
+      }
+      const slug = openRouterSlugFromKey(raw).trim();
+      if (!slug) {
+        return {
+          ok: false,
+          message: "informe o modelo OpenRouter (ex.: openrouter:openai/gpt-4o)",
+          selection: getModelSelection()
+        };
+      }
+      const key = openRouterKeyForSlug(slug);
+      selectedModelKey = key;
+      currentModelName = key;
+      context2.modelName = key;
+      await rebuildSystemPrompt(key);
+      return {
+        ok: true,
+        message: `modelo fixado: ${labelFor(key)}`,
+        selection: getModelSelection()
+      };
+    }
     const choices = getModelChoices();
     let match;
     if (/^\d+$/.test(normalized)) {
@@ -71712,6 +71884,28 @@ ${seen}`);
     }
     return sections.join("\n\n");
   }
+  let lastKimiChatId = null;
+  async function reportKimiSession() {
+    const base = process.env.KIMI_BASE_URL?.trim();
+    if (!base) return;
+    try {
+      const url2 = `${base.replace(/\/+$/, "")}/session`;
+      const controller = new AbortController();
+      const timer2 = setTimeout(() => controller.abort(), 1500);
+      const res = await fetch(url2, { signal: controller.signal }).finally(
+        () => clearTimeout(timer2)
+      );
+      if (!res.ok) return;
+      const info = await res.json();
+      if (!info?.active || !info.chatId) return;
+      const isNew = info.chatId !== lastKimiChatId;
+      lastKimiChatId = info.chatId;
+      render.info(
+        `\u25B8 kimi: ${isNew ? "conversa \xFAnica ativa" : "mesma conversa"} (turno ${info.turns ?? "?"}) \u2014 ${info.url ?? info.chatId}`
+      );
+    } catch {
+    }
+  }
   async function send(userInput, signal) {
     history.push({ role: "user", content: userInput });
     if (!auditMode && detectProjectAuditIntent(userInput)) {
@@ -71721,14 +71915,22 @@ ${seen}`);
       );
     } else if (auditMode && detectAuditExitIntent(userInput)) {
       auditMode = false;
+      pocVerify = false;
       render.info("\u25B8 modo normal reativado.");
     }
+    if (auditMode && !pocVerify && detectPocVerifyIntent(userInput)) {
+      pocVerify = true;
+      render.info(
+        "\u25B8 sub-modo VERIFICA\xC7\xC3O/PoC ligado \u2014 pode executar c\xF3digo de um harness ISOLADO na SPRIT para provar achados (n\xE3o-destrutivo; projeto intocado)."
+      );
+    }
     let turnSystem;
     if (auditMode) {
       turnSystem = buildAuditSystemPrompt({
         projectRoot,
         workdir: sandbox.getWorkdir(),
-        shellHint: sandbox.getShellHint()
+        shellHint: sandbox.getShellHint(),
+        mode: pocVerify ? "verify" : "audit"
       });
     } else {
       const matchedSkills = selectSkillsForInput(userInput);
@@ -71742,6 +71944,9 @@ ${seen}`);
     let lastError = null;
     let autoContinues = 0;
     let bridgeSteps = 0;
+    const maxSteps = auditMode ? AUDIT_MAX_STEPS : MAX_STEPS;
+    const maxAutoContinues = auditMode ? AUDIT_MAX_AUTO_CONTINUES : MAX_AUTO_CONTINUES;
+    const maxBridgeSteps = auditMode ? AUDIT_MAX_BRIDGE_STEPS : MAX_BRIDGE_STEPS;
     const modelChain = [...getActiveModelChain()];
     const usingFixedModel = selectedModelKey !== null;
     let rateLimitWaits = 0;
@@ -71809,11 +72014,11 @@ ${segs.join(
       };
       try {
         const result = streamText({
-          model: myProvider.languageModel(modelKey),
+          model: resolveLanguageModel2(modelKey),
           system: turnSystem,
           messages: history,
           tools,
-          stopWhen: stepCountIs(MAX_STEPS),
+          stopWhen: stepCountIs(maxSteps),
           maxOutputTokens: MAX_OUTPUT_TOKENS,
           abortSignal: stallController.signal,
           onError: ({ error: error51 }) => {
@@ -71897,12 +72102,12 @@ ${segs.join(
           await result.finishReason.catch(() => "unknown")
         );
         const leakedCall = !isProxyModel && hasLeakedToolCallMarker(lastStepText);
-        if (finishReason === "stop" && turnToolCalls === 0 && bridgeSteps < MAX_BRIDGE_STEPS && (isProxyModel || leakedCall)) {
+        if (finishReason === "stop" && turnToolCalls === 0 && bridgeSteps < maxBridgeSteps && (isProxyModel || leakedCall)) {
           const bridged = parseProxyToolCalls(lastStepText);
           if (bridged) {
             bridgeSteps++;
             render.info(
-              `\u25B8 ${leakedCall ? "tool call vazada recuperada" : "bridge"} (${bridgeSteps}/${MAX_BRIDGE_STEPS}): executando por tr\xE1s ${bridged.length} chamada(s): ${summarizeBridgedCalls(bridged)}`
+              `\u25B8 ${leakedCall ? "tool call vazada recuperada" : "bridge"} (${bridgeSteps}/${maxBridgeSteps}): executando por tr\xE1s ${bridged.length} chamada(s): ${summarizeBridgedCalls(bridged)}`
             );
             const resultText = await runBridgedToolCalls(bridged, signal);
             if (signal?.aborted) {
@@ -71923,12 +72128,13 @@ ${resultText}`
           finishReason,
           lastStepText,
           turnToolCalls,
-          autoContinues
+          autoContinues,
+          maxAutoContinues
         );
         if (resume) {
           autoContinues++;
           render.info(
-            `\u25B8 retomando automaticamente (${autoContinues}/${MAX_AUTO_CONTINUES}): ${resume.reason}`
+            `\u25B8 retomando automaticamente (${autoContinues}/${maxAutoContinues}): ${resume.reason}`
           );
           if (resume.nudge) {
             history.push({
@@ -71941,9 +72147,12 @@ ${resultText}`
         }
         if (finishReason !== "stop") {
           render.info(
-            `\u25B8 fim do turno: ${finishReason}` + (autoContinues >= MAX_AUTO_CONTINUES ? " (limite de retomadas autom\xE1ticas atingido)" : "")
+            `\u25B8 fim do turno: ${finishReason}` + (autoContinues >= maxAutoContinues ? " (limite de retomadas autom\xE1ticas atingido)" : "")
           );
         }
+        if (modelKey === PROXY_MODEL_KEYS.kimi) {
+          await reportKimiSession();
+        }
         render.endTurn();
         return;
       } catch (err) {
@@ -72045,6 +72254,11 @@ ${resultText}`
   }
   async function close() {
     await sandbox.close();
+    try {
+      const removed = await sandbox.cleanupWorkspace();
+      if (removed) render.info(`\u25B8 workspace SPRIT removida: ${removed}`);
+    } catch {
+    }
   }
   return {
     send,
@@ -72056,10 +72270,12 @@ ${resultText}`
     getModelChoices,
     getModelSelection,
     setModelSelection,
+    isOpenRouterAvailable: hasOpenRouterKey,
+    listOpenRouterModels: (signal) => listOpenRouterModels(signal),
     close
   };
 }
-var import_promises2, import_node_path10, MAX_STEPS, MAX_OUTPUT_TOKENS, MAX_AUTO_CONTINUES, MAX_RATE_LIMIT_WAITS, STREAM_STALL_TIMEOUT_MS, MAX_STALL_RETRIES, isRateLimitError, sleep4, LEAKED_TOOL_CALL_RE, DANGLING_TAIL_RE, ACTION_ANNOUNCE_RE, BENIGN_CLOSER_RE, TOOL_CALL_NUDGE, MAX_BRIDGE_STEPS, BRIDGE_RESULT_PREAMBLE, LEAKED_CALL_RESULT_PREAMBLE, BRIDGEABLE_TOOLS, FINDINGS_ACTIONS, truncateBridgeSummary, isWebSessionProxyModel, proxyToolProtocolPolicy, SYSTEM_PROMPT_SOURCE, REQUIRED_SYSTEM_PROMPT_MARKERS, MODEL_LABELS, labelFor, loginRequiredHint, CLI_PYTHON_ONLY_POLICY, pythonOnlyPolicy, scriptFilePolicy, deepReconPolicy, httpAndFindingsPolicy, reconPhasesPolicy, skillsScopePolicy, hasEnvValue2, envFlagEnabled, CLI_PERSONALITIES, buildCliUserCustomization, buildCliNotesSection, cliGuardrailsConfig, maybeDumpSystemPrompt, auditSystemPrompt, assertFullSystemPrompt;
+var import_promises2, import_node_path10, MAX_STEPS, AUDIT_MAX_STEPS, MAX_OUTPUT_TOKENS, MAX_AUTO_CONTINUES, AUDIT_MAX_AUTO_CONTINUES, MAX_RATE_LIMIT_WAITS, STREAM_STALL_TIMEOUT_MS, MAX_STALL_RETRIES, isRateLimitError, sleep4, LEAKED_TOOL_CALL_RE, DANGLING_TAIL_RE, ACTION_ANNOUNCE_RE, BENIGN_CLOSER_RE, TOOL_CALL_NUDGE, MAX_BRIDGE_STEPS, AUDIT_MAX_BRIDGE_STEPS, BRIDGE_RESULT_PREAMBLE, LEAKED_CALL_RESULT_PREAMBLE, BRIDGEABLE_TOOLS, FINDINGS_ACTIONS, truncateBridgeSummary, isWebSessionProxyModel, proxyToolProtocolPolicy, SYSTEM_PROMPT_SOURCE, REQUIRED_SYSTEM_PROMPT_MARKERS, MODEL_LABELS, labelFor, loginRequiredHint, CLI_PYTHON_ONLY_POLICY, pythonOnlyPolicy, scriptFilePolicy, deepReconPolicy, httpAndFindingsPolicy, reconPhasesPolicy, attackChainPolicy, skillsScopePolicy, hasEnvValue2, envFlagEnabled, CLI_PERSONALITIES, buildCliUserCustomization, buildCliNotesSection, cliGuardrailsConfig, maybeDumpSystemPrompt, auditSystemPrompt, assertFullSystemPrompt;
 var init_agent = __esm({
   "src/agent.ts"() {
     "use strict";
@@ -72090,8 +72306,10 @@ var init_agent = __esm({
     init_proxy_manager2();
     init_audit_mode();
     MAX_STEPS = 100;
+    AUDIT_MAX_STEPS = 240;
     MAX_OUTPUT_TOKENS = 16384;
     MAX_AUTO_CONTINUES = 3;
+    AUDIT_MAX_AUTO_CONTINUES = 8;
     MAX_RATE_LIMIT_WAITS = 4;
     STREAM_STALL_TIMEOUT_MS = (() => {
       const raw = Number(process.env.clawfast_CLI_STREAM_STALL_MS);
@@ -72119,6 +72337,7 @@ var init_agent = __esm({
     BENIGN_CLOSER_RE = /\b(?:let me know|just let me know|deixa eu saber|me avis(?:e|a)|qualquer (?:coisa|d[uú]vida)|fico (?:à|a) disposi[cç][aã]o)\b[^.!?:\n]{0,80}[.!?]?\s*$/i;
     TOOL_CALL_NUDGE = "Voc\xEA anunciou uma a\xE7\xE3o mas n\xE3o executou nenhuma ferramenta neste turno. Pare de descrever o que vai fazer e CHAME a ferramenta agora: use a ferramenta `file` (action write para criar, edit para alterar) para qualquer arquivo ou script, e `run_terminal_cmd` para rodar comandos. N\xC3O escreva o conte\xFAdo do arquivo na resposta nem cole markup de tool call \u2014 emita a chamada de ferramenta de verdade.";
     MAX_BRIDGE_STEPS = 50;
+    AUDIT_MAX_BRIDGE_STEPS = 120;
     BRIDGE_RESULT_PREAMBLE = "Voc\xEA roda via proxy de sess\xE3o web (sem function-calling nativo), ent\xE3o o runtime do CLI consumiu o bloco JSON anterior como chamada interna e EXECUTOU de verdade. N\xE3o repita o bloco nem o texto anterior. Os resultados REAIS est\xE3o abaixo. Continue a tarefa: se precisar de mais a\xE7\xF5es, emita SOMENTE o PR\xD3XIMO bloco ```json (um array de {brief, command, timeout} para terminal, ou {action, path, text} para arquivo). Um bloco por vez. Quando a tarefa terminar, responda em texto normal SEM bloco json.";
     LEAKED_CALL_RESULT_PREAMBLE = "Sua chamada de ferramenta anterior chegou como TEXTO (n\xE3o como function call nativo), ent\xE3o o runtime do CLI a executou mesmo assim. Os resultados REAIS est\xE3o abaixo. Continue a tarefa chamando as ferramentas NORMALMENTE (run_terminal_cmd, file, todo_write) como function calls de verdade \u2014 N\xC3O cole markup de tool call (`call_tool_function`, `<tool_call>`, etc.) nem JSON de chamada como texto na resposta.";
     BRIDGEABLE_TOOLS = /* @__PURE__ */ new Set([
@@ -72150,6 +72369,7 @@ Regras:
 4. Crie/edite scripts e c\xF3digo-fonte SOMENTE via {"action":"write"} / {"action":"edit"} \u2014 nunca por redirecionamento de shell (echo >, cat <<EOF, tee, Out-File...).
 5. Durante a\xE7\xF5es, coloque o conte\xFAdo operacional apenas dentro do JSON. Fora do JSON use no m\xE1ximo uma frase curta.
 6. Quando a tarefa estiver conclu\xEDda, responda em texto normal SEM bloco json.
+7. VOC\xCA N\xC3O TEM AMBIENTE PR\xD3PRIO. Voc\xEA n\xE3o possui sandbox, m\xE1quina, terminal ou sistema de arquivos seu. Caminhos como /mnt, /mnt/agents, /mnt/kimi N\xC3O existem. A \xDANICA forma de listar pastas, ler arquivos ou rodar comandos \xE9 emitindo o bloco \`\`\`json acima \u2014 que o runtime executa na m\xE1quina REAL do operador (use o caminho/diret\xF3rio de trabalho informado no system prompt). NUNCA invente sa\xEDda de comando, conte\xFAdo de arquivo ou estrutura de diret\xF3rios; s\xF3 use o que voltar como resultado real. Para "analisar/olhar/listar <caminho>", sua PRIMEIRA resposta deve ser um bloco json, sem pre\xE2mbulo.
 </web_session_tool_protocol>`;
     SYSTEM_PROMPT_SOURCE = "lib/system-prompt.ts";
     REQUIRED_SYSTEM_PROMPT_MARKERS = [
@@ -72177,7 +72397,7 @@ Regras:
       "fallback-openai-chat-latest": "OpenAI - chat-latest",
       "model-nvidia-nemotron": "NVIDIA - nemotron-3-ultra-550b"
     };
-    labelFor = (key) => MODEL_LABELS[key] ?? key;
+    labelFor = (key) => isOpenRouterDynamicKey(key) ? `OpenRouter - ${openRouterSlugFromKey(key)}` : MODEL_LABELS[key] ?? key;
     loginRequiredHint = (msg) => {
       if (/account is suspended|violation of user policies|account has been suspended/i.test(
         msg
@@ -72283,6 +72503,26 @@ Beyond recon/recon_deep.py (HTTP/JS/secret/browser recon), the workspace at ${wo
 
 Each module writes a JSON (and where useful Markdown) report under ./reports/. Read it, then record anything actionable with the findings tool. You MAY extend any module via the file tool \u2014 keep it Python and keep the scope gate intact.
 </recon_phases>`;
+    attackChainPolicy = (workdir) => `
+
+<attack_and_remediation_chain>
+ABSOLUTE RULE FOR THIS LOCAL CLI SESSION \u2014 applies to EVERY model and EVERY task:
+
+When the operator asks you to "attack", "explore vulnerabilities", "exploit", "pentest hard", "find a way in", or to FIX/close a vulnerability, follow the seeded offensive\u2192defensive chain at ${workdir}/recon. Do NOT hand-roll a one-off exploit script \u2014 these modules are the canonical engines, scope-gated by recon/scope.txt, AUTHORIZED-USE-ONLY, and strictly NON-DESTRUCTIVE (they prove impact; they never DROP data, mass-exfiltrate, or DoS).
+
+1. MAP THE ROUTES (saber as rotas): \`python recon/recon_routes.py https://alvo.com --wayback\`
+   Aggregates crawl + HTML forms + JS endpoints + robots/sitemap + Swagger/OpenAPI (+ Wayback) into ONE route map, annotating each route with its parameters and whether it needs auth. Writes reports/routes_<host>.json. This is the attack surface.
+
+2. ATTACK & PROVE (o ataque): \`python recon/exploit_engine.py --routes reports/routes_<host>.json\`
+   (or a single target: \`python recon/exploit_engine.py "https://alvo/item?id=1" --classes sqli,xss,lfi,cmdi,ssrf,redir\`). Runs verified playbooks per OWASP class (SQLi error/boolean/time-based, reflected XSS, LFI/traversal, command injection, SSRF, open redirect, IDOR with --idor-range). It only marks a finding "confirmed" when the LIVE response proves impact, capturing the exact payload + evidence. Use --cookie / --header for authenticated endpoints, --sleep for time-based, --oob for SSRF callbacks. Writes reports/exploit_<host>.json.
+
+3. RECORD: take every CONFIRMED finding from the exploit report and store it with the \`findings\` tool (status confirmed, paste the evidence). This is the engagement memory and the executive report.
+
+4. CLOSE THE BREACH (fechar a brecha para n\xE3o ter acesso de novo): \`python recon/harden.py --report reports/exploit_<host>.json\`
+   For each confirmed finding it emits the concrete fix (parameterized queries, output encoding, allowlist validation, security headers, WAF rule) AND REPLAYS the PoC to verify: "FIXED" only once the exploit no longer reproduces. After the operator applies a fix, RUN harden.py AGAIN \u2014 a vuln is only closed when its verdict flips to FIXED \u2705. Report what is still STILL OPEN \u274C.
+
+Dependencies (optional, improve fidelity): \`python -m pip install requests\`. You MAY extend any module via the file tool \u2014 keep it Python, keep the scope gate, keep it non-destructive.
+</attack_and_remediation_chain>`;
     skillsScopePolicy = () => `
 
 <skills_scope>
@@ -72502,6 +72742,94 @@ var init_interactive_input = __esm({
           };
         });
       }
+      /**
+       * Searchable single-choice list: a live filter bar on top, a scrolling
+       * viewport of matches below. Type to filter, ↑/↓ to move (wraps), Enter to
+       * pick, Esc / Ctrl+C to cancel. Built for big catalogs (e.g. every OpenRouter
+       * model). Returns the chosen item's ORIGINAL index, or null on cancel.
+       */
+      searchSelect(title, items, opts = {}) {
+        const pageSize = Math.max(4, opts.pageSize ?? 10);
+        const placeholder = opts.placeholder ?? "digite para filtrar";
+        let query = "";
+        let sel = 0;
+        let top = 0;
+        this.lastRows = 0;
+        out2("\n");
+        const filtered = () => {
+          const q = query.toLowerCase().trim();
+          const all = items.map((it, i) => ({ it, i }));
+          if (!q) return all;
+          return all.filter(
+            ({ it }) => it.label.toLowerCase().includes(q) || (it.hint ?? "").toLowerCase().includes(q)
+          );
+        };
+        const draw = () => {
+          const list = filtered();
+          if (sel >= list.length) sel = Math.max(0, list.length - 1);
+          if (sel < top) top = sel;
+          if (sel >= top + pageSize) top = sel - pageSize + 1;
+          this.renderSearchList(
+            title,
+            placeholder,
+            query,
+            list,
+            sel,
+            top,
+            pageSize,
+            items.length
+          );
+        };
+        draw();
+        return new Promise((resolve2) => {
+          const finish = (value) => {
+            this.collapseTo(this.lastRows);
+            this.onKey = null;
+            resolve2(value);
+          };
+          this.onKey = (str, key) => {
+            if (key.ctrl && key.name === "c") return finish(null);
+            const list = filtered();
+            switch (key.name) {
+              case "escape":
+                return finish(null);
+              case "return":
+                if (list.length === 0) return;
+                return finish(list[sel].i);
+              case "up":
+                if (list.length) sel = (sel - 1 + list.length) % list.length;
+                draw();
+                return;
+              case "down":
+              case "tab":
+                if (list.length) sel = (sel + 1) % list.length;
+                draw();
+                return;
+              case "backspace":
+                if (query.length) {
+                  query = query.slice(0, -1);
+                  sel = 0;
+                  top = 0;
+                }
+                draw();
+                return;
+            }
+            if (key.ctrl && key.name === "u") {
+              query = "";
+              sel = 0;
+              top = 0;
+              draw();
+              return;
+            }
+            if (str && !key.ctrl && !key.meta && str.charCodeAt(0) >= 32) {
+              query += str;
+              sel = 0;
+              top = 0;
+              draw();
+            }
+          };
+        });
+      }
       /**
        * Lightweight line reader used WHILE a turn is running, so typed lines can be
        * forwarded to an interactive command's stdin. No box/dropdown — just echoes
@@ -72722,12 +73050,12 @@ var init_interactive_input = __esm({
         const prefix = frame2("\u2570\u2500") + gradient("\u276F", { bold: true }) + " ";
         const prefixLen = 4;
         const avail = Math.max(8, width - prefixLen - 1);
-        let start = 0;
-        if (this.cursor > avail) start = this.cursor - avail;
-        const visible = this.buffer.slice(start, start + avail);
-        const caretCol = prefixLen + (this.cursor - start);
-        const promptLine2 = prefix + visible;
-        const lines = [top, idLine, promptLine2];
+        const { textLines, caretLine, caretCol } = this.wrap(
+          prefix,
+          prefixLen,
+          avail
+        );
+        const lines = [top, idLine, ...textLines];
         const items = this.dropdownItems();
         if (items.length > 0) {
           this.ddSel = Math.min(this.ddSel, items.length - 1);
@@ -72752,9 +73080,27 @@ var init_interactive_input = __esm({
         } else {
           this.ddSel = 0;
         }
-        this.inputLineIndex = 2;
+        this.inputLineIndex = 2 + caretLine;
         this.paint(lines, caretCol);
       }
+      /**
+       * Split the buffer into terminal-width rows. The first row carries `prefix`
+       * (e.g. "❯ "); continuation rows are indented by `prefixLen` spaces so the
+       * text columns line up. Also returns which wrapped row the caret sits on and
+       * its absolute column, so paint() can place the cursor correctly.
+       */
+      wrap(prefix, prefixLen, avail) {
+        const indent = " ".repeat(prefixLen);
+        const caretLine = Math.floor(this.cursor / avail);
+        const caretColInLine = this.cursor - caretLine * avail;
+        const chunks = [];
+        for (let i = 0; i < this.buffer.length; i += avail) {
+          chunks.push(this.buffer.slice(i, i + avail));
+        }
+        while (chunks.length <= caretLine) chunks.push("");
+        const textLines = chunks.map((c, i) => (i === 0 ? prefix : indent) + c);
+        return { textLines, caretLine, caretCol: prefixLen + caretColInLine };
+      }
       /** Compact single-line labelled prompt ("nome ❯ …") for step-by-step capture. */
       renderCompact() {
         const width = cols();
@@ -72762,12 +73108,13 @@ var init_interactive_input = __esm({
         const prefix = `${gradient(label, { bold: true })} ${gradient("\u276F", { bold: true })} `;
         const prefixLen = vlen(`${label} \u276F `);
         const avail = Math.max(8, width - prefixLen - 1);
-        let start = 0;
-        if (this.cursor > avail) start = this.cursor - avail;
-        const visible = this.buffer.slice(start, start + avail);
-        const caretCol = prefixLen + (this.cursor - start);
-        this.inputLineIndex = 0;
-        this.paint([prefix + visible], caretCol);
+        const { textLines, caretLine, caretCol } = this.wrap(
+          prefix,
+          prefixLen,
+          avail
+        );
+        this.inputLineIndex = caretLine;
+        this.paint(textLines, caretCol);
       }
       /** Repaint the whole block, then place the cursor on the active input line. */
       paint(lines, caretCol) {
@@ -72812,6 +73159,42 @@ var init_interactive_input = __esm({
         );
         this.paintBlock(lines);
       }
+      /** Render the search bar + a scrolling viewport of filtered matches. */
+      renderSearchList(title, placeholder, query, list, sel, top, pageSize, total) {
+        const width = cols();
+        const inner = Math.min(Math.max(40, width - 4), 80);
+        const lines = [];
+        lines.push(`${frame2("\u256D\u2500\u25C6 ")}${gradient(title, { bold: true })}`);
+        const shown = query.length ? query : `${C4.dim}${placeholder}${C4.reset}`;
+        const counter = query.trim() ? `${C4.dim}${list.length}/${total}${C4.reset}` : `${C4.dim}${total}${C4.reset}`;
+        lines.push(
+          `${frame2("\u2502 ")}${gradient("\u2315", { bold: true })} ${shown}${C4.reset}  ${counter}`
+        );
+        lines.push(frame2("\u2502"));
+        if (list.length === 0) {
+          lines.push(`${frame2("\u2502 ")}${C4.dim}nenhum modelo corresponde${C4.reset}`);
+        } else {
+          const end = Math.min(top + pageSize, list.length);
+          for (let i = top; i < end; i++) {
+            const active2 = i === sel;
+            const { it } = list[i];
+            const marker25 = active2 ? gradient("\u276F ", { bold: true }) : `${C4.dim}  `;
+            const text2 = active2 ? gradient(it.label, { bold: true }) : `${C4.reset}${it.label}`;
+            const labelW = vlen(it.label);
+            const hint = it.hint ? `   ${C4.dim}${truncate4(it.hint, Math.max(6, inner - labelW - 6))}${C4.reset}` : "";
+            lines.push(`${frame2("\u2502 ")}${C4.reset}${marker25}${text2}${C4.reset}${hint}`);
+          }
+          if (list.length > pageSize) {
+            lines.push(
+              `${frame2("\u2502 ")}${C4.dim}${sel + 1}/${list.length}${C4.reset}`
+            );
+          }
+        }
+        lines.push(
+          `${frame2("\u2570\u2500")} ${C4.dim}digite filtra \xB7 \u2191\u2193 navega \xB7 Enter seleciona \xB7 Esc cancela${C4.reset}`
+        );
+        this.paintBlock(lines);
+      }
       /** Repaint a block and leave the cursor just below it (for list/menu modes). */
       paintBlock(lines) {
         let s = "";
@@ -72869,8 +73252,8 @@ async function main() {
 `
   );
   const COMMANDS = [
-    { name: "/model", desc: "trocar o modelo (seletor com setas)" },
-    { name: "/api", desc: "trocar a chave NVIDIA (testa e ativa na hora)" },
+    { name: "/model", desc: "trocar o modelo (setas; OpenRouter c/ busca)" },
+    { name: "/api", desc: "trocar chave de API (NVIDIA / OpenRouter)" },
     { name: "/skills", desc: "listar as skills instaladas" },
     { name: "/skillcreator", desc: "criar uma nova skill" },
     { name: "/system", desc: "salvar o system prompt (HTML) na \xC1rea de Trabalho" },
@@ -73123,69 +73506,66 @@ ${C5.dim}ja disponivel para todos os modelos nesta sessao.${C5.reset}
 `
     );
   };
-  const openModelSelector = async () => {
-    const state = agent.getModelSelection();
-    const items = [
-      {
-        label: "Auto \u2014 cadeia de fallback autom\xE1tica",
-        hint: "tenta os modelos em ordem"
-      },
-      ...state.chain.map((c) => ({ label: c.label, hint: c.key }))
-    ];
-    const activeIdx = state.mode === "auto" ? 0 : Math.max(
-      0,
-      1 + state.chain.findIndex((c) => c.key === state.activeModelKey)
-    );
-    const choice2 = await inputUI.select("selecionar modelo", items, activeIdx);
-    if (choice2 === null) {
-      process.stdout.write(`${C5.dim}sele\xE7\xE3o de modelo cancelada${C5.reset}
-`);
-      return;
-    }
-    const arg = choice2 === 0 ? "auto" : state.chain[choice2 - 1].key;
-    try {
-      printModelResult(await agent.setModelSelection(arg));
-    } catch (err) {
-      printFatal(err);
+  const KEY_PROVIDERS = [
+    {
+      id: "nvidia",
+      name: "NVIDIA",
+      envVar: "NVIDIA_API_KEY",
+      createUrl: "https://build.nvidia.com/",
+      keyRegex: /nvapi-[A-Za-z0-9_-]+/,
+      keyHint: "nvapi-\u2026",
+      test: testNvidiaKey,
+      swap: swapNvidiaKey
+    },
+    {
+      id: "openrouter",
+      name: "OpenRouter",
+      envVar: "OPENROUTER_API_KEY",
+      createUrl: "https://openrouter.ai/keys",
+      keyRegex: /sk-or-[A-Za-z0-9_-]+/,
+      keyHint: "sk-or-\u2026",
+      test: testOpenRouterKey,
+      swap: swapOpenRouterKey
     }
-  };
-  const handleApiSwap = async (inlineKey) => {
+  ];
+  const openRouterProvider = KEY_PROVIDERS.find((p) => p.id === "openrouter");
+  const promptAndSwapKey = async (provider, inlineKey = "") => {
     let raw = inlineKey;
     if (!raw) {
       process.stdout.write(
-        `${C5.dim}Cole a nova chave NVIDIA (cria em ${C5.reset}${C5.cyan}https://build.nvidia.com/${C5.reset}${C5.dim}). Enter vazio ou Ctrl+C cancela.${C5.reset}
+        `${C5.dim}Cole a nova chave ${provider.name} (cria em ${C5.reset}${C5.cyan}${provider.createUrl}${C5.reset}${C5.dim}). Enter vazio ou Ctrl+C cancela.${C5.reset}
 `
       );
       const res = await inputUI.prompt({
-        label: "nova NVIDIA API key",
+        label: `nova ${provider.name} API key`,
         secret: true
       });
       if (res.type !== "line" || !res.value.trim()) {
         process.stdout.write(`${C5.dim}troca de chave cancelada${C5.reset}
 `);
-        return;
+        return false;
       }
       raw = res.value;
     }
-    const key = raw.replace(/\s+/g, "").match(/nvapi-[A-Za-z0-9_-]+/)?.[0] ?? "";
+    const key = raw.replace(/\s+/g, "").match(provider.keyRegex)?.[0] ?? "";
     if (!key) {
       process.stdout.write(
-        `${C5.red}\u2717 n\xE3o encontrei uma chave NVIDIA no que foi colado${C5.reset} ${C5.dim}(esperado um token "nvapi-\u2026"; cole a chave completa).${C5.reset}
+        `${C5.red}\u2717 n\xE3o encontrei uma chave ${provider.name} no que foi colado${C5.reset} ${C5.dim}(esperado um token "${provider.keyHint}"; cole a chave completa).${C5.reset}
 `
       );
-      return;
+      return false;
     }
-    process.stdout.write(`${C5.dim}testando a chave na NVIDIA\u2026${C5.reset}
+    process.stdout.write(`${C5.dim}testando a chave na ${provider.name}\u2026${C5.reset}
 `);
-    const test = await testNvidiaKey(key);
+    const test = await provider.test(key);
     if (!test.ok) {
       if (test.status === 401 || test.status === 403) {
         process.stdout.write(
-          `${C5.red}\u2717 a NVIDIA recusou a chave (${test.status}): ${test.detail}${C5.reset}
-${C5.dim}chave N\xC3O salva \u2014 confira se copiou inteira e se a conta tem acesso de infer\xEAncia.${C5.reset}
+          `${C5.red}\u2717 a ${provider.name} recusou a chave (${test.status}): ${test.detail}${C5.reset}
+${C5.dim}chave N\xC3O salva \u2014 confira se copiou inteira e se a conta tem acesso.${C5.reset}
 `
         );
-        return;
+        return false;
       }
       process.stdout.write(
         `${C5.yellow}\u26A0 n\xE3o consegui validar (${test.status || "rede"}): ${test.detail}${C5.reset}
@@ -73193,13 +73573,123 @@ ${C5.dim}salvando mesmo assim \u2014 o pr\xF3ximo pedido vai usar a chave nova.$
 `
       );
     }
-    const file2 = swapNvidiaKey(key);
+    const file2 = provider.swap(key);
     const masked = `${key.slice(0, 9)}\u2026${key.slice(-4)} (${key.length} chars)`;
     process.stdout.write(
-      `${C5.green}\u2713 chave NVIDIA trocada e ativa${C5.reset} ${C5.dim}${masked}${C5.reset}
+      `${C5.green}\u2713 chave ${provider.name} trocada e ativa${C5.reset} ${C5.dim}${masked}${C5.reset}
 ${C5.dim}salva em ${C5.reset}${C5.cyan}${file2}${C5.reset}
 `
     );
+    return true;
+  };
+  const openOpenRouterPicker = async () => {
+    if (!agent.isOpenRouterAvailable()) {
+      process.stdout.write(
+        `${C5.dim}OpenRouter ainda sem chave. Vamos adicionar uma.${C5.reset}
+`
+      );
+      const ok = await promptAndSwapKey(openRouterProvider);
+      if (!ok) return;
+    }
+    process.stdout.write(`${C5.dim}buscando cat\xE1logo OpenRouter\u2026${C5.reset}
+`);
+    let models;
+    try {
+      models = await agent.listOpenRouterModels();
+    } catch (err) {
+      process.stdout.write(
+        `${C5.red}\u2717 falha ao listar modelos OpenRouter: ${err instanceof Error ? err.message : String(err)}${C5.reset}
+`
+      );
+      return;
+    }
+    if (models.length === 0) {
+      process.stdout.write(
+        `${C5.yellow}\u26A0 a OpenRouter n\xE3o retornou nenhum modelo${C5.reset}
+`
+      );
+      return;
+    }
+    const items = models.map((m) => ({
+      label: m.name,
+      hint: `${m.id}${m.promptPrice === "0" ? "  \xB7 free" : ""}`
+    }));
+    const choice2 = await inputUI.searchSelect(
+      "OpenRouter \u2014 buscar modelo",
+      items,
+      { placeholder: "digite para filtrar (nome ou slug)" }
+    );
+    if (choice2 === null) {
+      process.stdout.write(`${C5.dim}sele\xE7\xE3o de modelo cancelada${C5.reset}
+`);
+      return;
+    }
+    try {
+      printModelResult(
+        await agent.setModelSelection(`openrouter:${models[choice2].id}`)
+      );
+    } catch (err) {
+      printFatal(err);
+    }
+  };
+  const openModelSelector = async () => {
+    const state = agent.getModelSelection();
+    const orAvailable = agent.isOpenRouterAvailable();
+    const items = [
+      {
+        label: "Auto \u2014 cadeia de fallback autom\xE1tica",
+        hint: "tenta os modelos em ordem"
+      },
+      ...state.chain.map((c) => ({ label: c.label, hint: c.key }))
+    ];
+    const openRouterIdx = items.length;
+    items.push({
+      label: "OpenRouter \u2014 buscar no cat\xE1logo completo",
+      hint: orAvailable ? "lista todos os modelos da sua conta" : "pede a API key e lista o cat\xE1logo"
+    });
+    const activeIsOpenRouter = state.activeModelKey.startsWith("openrouter:");
+    const activeIdx = state.mode === "auto" ? 0 : activeIsOpenRouter ? openRouterIdx : Math.max(
+      0,
+      1 + state.chain.findIndex((c) => c.key === state.activeModelKey)
+    );
+    const choice2 = await inputUI.select("selecionar modelo", items, activeIdx);
+    if (choice2 === null) {
+      process.stdout.write(`${C5.dim}sele\xE7\xE3o de modelo cancelada${C5.reset}
+`);
+      return;
+    }
+    if (choice2 === openRouterIdx) {
+      await openOpenRouterPicker();
+      return;
+    }
+    const arg = choice2 === 0 ? "auto" : state.chain[choice2 - 1].key;
+    try {
+      printModelResult(await agent.setModelSelection(arg));
+    } catch (err) {
+      printFatal(err);
+    }
+  };
+  const handleApiSwap = async (inlineKey) => {
+    if (inlineKey) {
+      const stripped = inlineKey.replace(/\s+/g, "");
+      const provider = KEY_PROVIDERS.find((p) => p.keyRegex.test(stripped)) ?? KEY_PROVIDERS[0];
+      await promptAndSwapKey(provider, inlineKey);
+      return;
+    }
+    const idx = await inputUI.select(
+      "trocar chave de API",
+      KEY_PROVIDERS.map((p) => ({
+        label: p.name,
+        hint: process.env[p.envVar]?.trim() ? `${p.envVar} (configurada)` : p.envVar
+      })),
+      0
+    );
+    if (idx === null) {
+      process.stdout.write(`${C5.dim}troca de chave cancelada${C5.reset}
+`);
+      return;
+    }
+    await promptAndSwapKey(KEY_PROVIDERS[idx]);
   };
   const handleLine = async (line) => {
     if (closing) return;
@@ -73226,6 +73716,10 @@ ${C5.dim}salva em ${C5.reset}${C5.cyan}${file2}${C5.reset}
     }
     if (input.startsWith("/model ") || input.startsWith("/models ")) {
       const arg = input.replace(/^\/models?\s*/, "");
+      if (arg.toLowerCase() === "openrouter" || arg.toLowerCase() === "or") {
+        await openOpenRouterPicker();
+        return;
+      }
       try {
         printModelResult(await agent.setModelSelection(arg));
       } catch (err) {
@@ -73379,11 +73873,12 @@ var init_index = __esm({
     configuredModelProviders = [
       deepseekEnabled ? "DeepSeek (proxy/web session)" : null,
       process.env.NVIDIA_API_KEY?.trim() ? "NVIDIA build" : null,
-      process.env.OPENAI_API_KEY?.trim() ? "OpenAI" : null
+      process.env.OPENAI_API_KEY?.trim() ? "OpenAI" : null,
+      process.env.OPENROUTER_API_KEY?.trim() ? "OpenRouter" : null
     ].filter((name25) => Boolean(name25));
     if (configuredModelProviders.length === 0) {
       console.error(
-        `Nenhuma chave de modelo configurada. Defina NVIDIA_API_KEY (ou OPENAI_API_KEY) em ${clawfastEnvPath()} ou como vari\xE1vel de ambiente.`
+        `Nenhuma chave de modelo configurada. Defina NVIDIA_API_KEY (ou OPENAI_API_KEY / OPENROUTER_API_KEY) em ${clawfastEnvPath()} ou como vari\xE1vel de ambiente.`
       );
       process.exit(1);
     }

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "clawfast",
-  "version": "2.1.1",
+  "version": "2.2.1",
   "description": "CLAWFAST — agente de pentest no terminal. Com o clawfast você faz tudo.",
   "bin": {
     "clawfast": "dist/clawfast.cjs"