oxe-cc 0.6.0 → 0.6.4

package/oxe/templates/SECURITY.template.md

@@ -1,72 +1,72 @@
----
-oxe_doc: security
-status: draft
-updated: YYYY-MM-DD
-stack_ref: .oxe/codebase/STACK.md
-plan_ref: .oxe/PLAN.md
----
-
-# Auditoria de Segurança OXE
-
-## Stack e escopo
-
-**Stack identificado:** [linguagem, framework, DB, auth]
-**Categorias OWASP avaliadas:** A01, A02, A03, ...
-**Categorias descartadas:** A04 (motivo), A08 (motivo), ...
-
----
-
-## Achados
-
-### P0 — Crítico (requer ação imediata)
-
-| ID | Categoria | Arquivo:linha | Padrão encontrado | Recomendação | Tarefa |
-|----|-----------|--------------|-------------------|--------------|--------|
-| S-01 | A07 — Auth | `src/auth/login.ts:42` | Senha comparada sem hash | Usar bcrypt/argon2 | T_new |
-
-### P1 — Alto (antes do próximo deploy)
-
-| ID | Categoria | Arquivo:linha | Padrão encontrado | Recomendação | Tarefa |
-|----|-----------|--------------|-------------------|--------------|--------|
-| S-02 | A05 — Config | `.env.example:8` | JWT_SECRET sem rotação documentada | Documentar política de rotação | T3 |
-
-### P2 — Médio (ação recomendada, compensação aceitável)
-
-| ID | Categoria | Arquivo:linha | Padrão encontrado | Recomendação | Tarefa |
-|----|-----------|--------------|-------------------|--------------|--------|
-| S-03 | A09 — Logging | `src/api/handler.ts:15` | Erro logado com stack trace completo em produção | Filtrar dados sensíveis em prod | T_new |
-
----
-
-## Resultado por categoria
-
-| Categoria OWASP | Status | Achados |
-|-----------------|--------|---------|
-| A01 — Broken Access Control | ✅ Sem achados | — |
-| A02 — Cryptographic Failures | ⚠️ P1 | S-02 |
-| A03 — Injection | ✅ Sem achados | — |
-| A05 — Security Misconfiguration | ⚠️ P1 | S-02 |
-| A07 — Authentication Failures | ❌ P0 | S-01 |
-| A09 — Logging & Monitoring | ⚠️ P2 | S-03 |
-
----
-
-## Sugestões de tarefas novas
-
-```
-T_new-S01: Implementar hash de senha com bcrypt (custo ≥ 12)
-  Verificar: login falha com senha errada; hash visível no DB.
-  Aceite vinculado: [A* de segurança se existir na SPEC]
-
-T_new-S03: Filtrar stack traces em logs de produção
-  Verificar: log em NODE_ENV=production não expõe stacktrace.
-  Aceite vinculado: —
-```
-
----
-
-## Próximo passo
-
-- **P0 presente:** ação obrigatória antes de qualquer deploy — criar tarefas e adicionar ao PLAN via `/oxe-plan --replan`.
-- **Apenas P1/P2:** priorizar P1 na próxima onda; P2 pode ir para backlog v2.
-- **Sem achados:** registrar como "auditoria limpa em YYYY-MM-DD" e prosseguir.
+---
+oxe_doc: security
+status: draft
+updated: YYYY-MM-DD
+stack_ref: .oxe/codebase/STACK.md
+plan_ref: .oxe/PLAN.md
+---
+
+# Auditoria de Segurança OXE
+
+## Stack e escopo
+
+**Stack identificado:** [linguagem, framework, DB, auth]
+**Categorias OWASP avaliadas:** A01, A02, A03, ...
+**Categorias descartadas:** A04 (motivo), A08 (motivo), ...
+
+---
+
+## Achados
+
+### P0 — Crítico (requer ação imediata)
+
+| ID | Categoria | Arquivo:linha | Padrão encontrado | Recomendação | Tarefa |
+|----|-----------|--------------|-------------------|--------------|--------|
+| S-01 | A07 — Auth | `src/auth/login.ts:42` | Senha comparada sem hash | Usar bcrypt/argon2 | T_new |
+
+### P1 — Alto (antes do próximo deploy)
+
+| ID | Categoria | Arquivo:linha | Padrão encontrado | Recomendação | Tarefa |
+|----|-----------|--------------|-------------------|--------------|--------|
+| S-02 | A05 — Config | `.env.example:8` | JWT_SECRET sem rotação documentada | Documentar política de rotação | T3 |
+
+### P2 — Médio (ação recomendada, compensação aceitável)
+
+| ID | Categoria | Arquivo:linha | Padrão encontrado | Recomendação | Tarefa |
+|----|-----------|--------------|-------------------|--------------|--------|
+| S-03 | A09 — Logging | `src/api/handler.ts:15` | Erro logado com stack trace completo em produção | Filtrar dados sensíveis em prod | T_new |
+
+---
+
+## Resultado por categoria
+
+| Categoria OWASP | Status | Achados |
+|-----------------|--------|---------|
+| A01 — Broken Access Control | ✅ Sem achados | — |
+| A02 — Cryptographic Failures | ⚠️ P1 | S-02 |
+| A03 — Injection | ✅ Sem achados | — |
+| A05 — Security Misconfiguration | ⚠️ P1 | S-02 |
+| A07 — Authentication Failures | ❌ P0 | S-01 |
+| A09 — Logging & Monitoring | ⚠️ P2 | S-03 |
+
+---
+
+## Sugestões de tarefas novas
+
+```
+T_new-S01: Implementar hash de senha com bcrypt (custo ≥ 12)
+  Verificar: login falha com senha errada; hash visível no DB.
+  Aceite vinculado: [A* de segurança se existir na SPEC]
+
+T_new-S03: Filtrar stack traces em logs de produção
+  Verificar: log em NODE_ENV=production não expõe stacktrace.
+  Aceite vinculado: —
+```
+
+---
+
+## Próximo passo
+
+- **P0 presente:** ação obrigatória antes de qualquer deploy — criar tarefas e adicionar ao PLAN via `/oxe-plan --replan`.
+- **Apenas P1/P2:** priorizar P1 na próxima onda; P2 pode ir para backlog v2.
+- **Sem achados:** registrar como "auditoria limpa em YYYY-MM-DD" e prosseguir.

package/oxe/templates/STATE.md

@@ -13,6 +13,7 @@
 
 - **Data:** (**YYYY-MM-DD** — preenchido por **`/oxe-compact`**: refresh incremental dos mapas em `.oxe/codebase/` + `CODEBASE-DELTA.md` + `RESUME.md`)
 - **Notas:** (opcional; ex.: "só STRUCTURE e TESTING")
+- **last_retro:** (YYYY-MM-DD — preenchido por **`/oxe-retro`** ao concluir retrospectiva; lido por `oxe-cc doctor` para rastrear ciclos sem lições)
 
 ## Contexto do plano / quick (opcional)
 
@@ -22,13 +23,30 @@
 
 ## Blueprint de agentes (sessão) (opcional — `/oxe-plan-agent`)
 
-Espelho do **`.oxe/plan-agents.json`** ativo (schema 2). Atualizar em **`/oxe-plan-agent`**, **`/oxe-execute`**, **`/oxe-verify`**, **`/oxe-quick`** quando o lifecycle mudar.
+Espelho do **`.oxe/plan-agents.json`** ativo (schema ≥ 2). Atualizar em **`/oxe-plan-agent`**, **`/oxe-execute`**, **`/oxe-verify`**, **`/oxe-quick`** quando o lifecycle mudar.
 
 - **run_id:** (igual a `runId` no JSON; — se não houver blueprint)
 - **lifecycle_status:** `pending_execute` | `executing` | `closed` | `invalidated` | —
 - **Última onda (execute):** (número ou —)
 - **Notas:** (ex.: invalidado por quick; mensagens em `.oxe/plan-agent-messages/`)
 
+## Quick agents (sessão) (opcional — `/oxe-quick` com PDDA)
+
+Preenchido por **`/oxe-quick`** quando Plan-Driven Dynamic Agents lean estiver ativo.
+
+- **quick_id:** (ex.: `quick-2026-04-05-a1b2c3` — gerado por `/oxe-quick`)
+- **quick_agents_status:** `active` | `done` | `invalidated` | —
+- **Notas:** (ex.: invalidado ao iniciar novo quick ou promover a spec/plan)
+
+## Loop (sessão) (opcional — `/oxe-loop`)
+
+Preenchido por **`/oxe-loop`** durante retry iterativo de onda.
+
+- **loop_onda:** (número da onda em retry, ex.: `2`)
+- **loop_iteracao:** (tentativa atual / máximo, ex.: `2/3`)
+- **loop_status:** `retrying` | `passed` | `escalated` | —
+- **Notas:** (ex.: escalado para `/oxe-forensics` após 3 tentativas)
+
 ## Checklist da onda OXE (opcional — workflow execute)
 
 _(O agente pode preencher após cada onda.)_

package/oxe/templates/config.template.json

@@ -3,12 +3,14 @@
   "profile": "balanced",
   "discuss_before_plan": false,
   "verification_depth": "standard",
+  "security_in_verify": false,
   "after_verify_suggest_pr": true,
   "after_verify_draft_commit": true,
   "after_verify_suggest_uat": false,
   "default_verify_command": "",
   "scan_max_age_days": 0,
   "compact_max_age_days": 0,
+  "lessons_max_age_days": 0,
   "scale_adaptive": true,
   "scan_focus_globs": [],
   "scan_ignore_globs": [],

package/oxe/templates/plan-agents.template.json

@@ -11,6 +11,7 @@
     {
       "id": "agent-example",
       "role": "Papel legível (ex.: Database)",
+      "persona": "executor",
       "scope": [
         "Primeiro bullet do âmbito",
         "Segundo bullet"

package/oxe/workflows/help.md

@@ -74,7 +74,8 @@ Com **`compact_max_age_days`** em `.oxe/config.json` (ver `oxe/templates/CONFIG.
 3. **plan** — plano executável + **Verificar** por tarefa. Se 3+ domínios distintos, **sugere automaticamente** blueprint de agentes (`/oxe-plan --agents`). Sem `--agents`: solo. Com `--agents`: gera também `plan-agents.json` (schema 3 com `model_hint`).
 4. **execute** — modo selecionado 1 vez: **A) Completo** (1 sessão), **B) Por onda**, **C) Por tarefa**. Se Verificar falhar inline: diagnóstico automático (2-3 hipóteses + fix), sem precisar chamar `/oxe-debug` separadamente. Escalação para `/oxe-forensics` só se esgotar tentativas.
 5. **verify** — até **6 camadas** por config: auditoria pré-exec, tarefas + critérios A*, fidelidade D-NN, UAT, **gaps de cobertura** (camada 5 — `verification_depth: "thorough"`), **segurança OWASP** (camada 6 — `security_in_verify: true`). Sem comandos extras.
-6. **→ próximo passo** — `/oxe` sugere automaticamente o que fazer agora (nova feature, milestone, ou revisar gaps).
+6. **retro** *(opcional, recomendado após verify_complete)* — `/oxe-retro` sintetiza 3–5 lições prescritivas em `.oxe/LESSONS.md`. Cada lição diz **o que fazer diferente** no próximo ciclo — consumida automaticamente pelo próximo spec/plan.
+7. **→ próximo ciclo** — spec/plan do próximo ciclo lê LESSONS.md automaticamente. Os erros do ciclo anterior não se repetem.
 
 **Escape hatches (não precisam ser decorados — aparecem quando necessários):**
 

package/oxe/workflows/loop.md

@@ -1,57 +1,57 @@
-# OXE — Workflow: loop (execução iterativa até verificação passar)
-
-<objective>
-Executar uma **onda do PLAN.md** em ciclo iterativo até que a verificação inline passe ou o limite de tentativas seja atingido. Complementa o **Modo B** (por onda) do **`execute.md`** com retries automáticos e diagnóstico inline de falhas.
-
-Quando verify falha, não interrompe — diagnostica (2-3 hipóteses), corrige, tenta de novo. Escala para **`/oxe-forensics`** apenas quando esgota as tentativas.
-</objective>
-
-<context>
-- **Pré-requisito:** `.oxe/PLAN.md` existente com pelo menos 1 onda; `STATE.md` com fase ≥ `plan_ready`.
-- **Máximo de iterações:** padrão = 3; configurável via argumento `max:<N>` (ex.: `/oxe-loop onda 2 max:5`). Nunca exceder 10.
-- **Artefato:** não cria novos arquivos — atualiza `STATE.md` com campos `loop_*` e registra cada iteração como bloco inline no chat.
-- **Escalação:** se esgotou tentativas e ainda falhou → registrar estado em STATE.md + sugerir `/oxe-forensics` com contexto das hipóteses já tentadas.
-- **Não substitui** `/oxe-verify` global (4 camadas): o loop faz verificação **inline por onda** (comando `**Verificar:**` de cada Tn); o verify completo deve ser chamado ao final de todas as ondas.
-</context>
-
-<loop_state>
-## Campos em STATE.md durante o loop
-
-```yaml
-loop_onda: 2              # número da onda sendo executada
-loop_iteracao: 2/3        # tentativa atual / máximo
-loop_status: retrying     # retrying | passed | escalated
-loop_hipoteses: ["H1: ...", "H2: ..."]  # hipóteses da última falha
-```
-
-Limpar campos `loop_*` ao concluir com `passed` (ou manter `escalated` se escalou para forensics).
-</loop_state>
-
-<process>
-1. Ler `.oxe/STATE.md` e `.oxe/PLAN.md`. Identificar a onda alvo (argumento do usuário ou próxima onda pendente em STATE).
-2. Registrar em STATE.md: `loop_onda: N`, `loop_iteracao: 1/<max>`, `loop_status: retrying`.
-3. **Iteração:**
-   a. Listar tarefas da onda N com seus comandos `**Verificar:**`.
-   b. Implementar todas as tarefas da onda (seguindo `execute.md` `<modo_solo>`).
-   c. Executar os comandos `Verificar` de cada `Tn`.
-   d. **Se todos passaram:** registrar `loop_status: passed`; limpar campos `loop_*`; atualizar STATE.md com onda concluída; informar usuário e sugerir próxima onda ou `/oxe-verify`.
-   e. **Se algum falhou:**
-      - Listar 2-3 hipóteses de causa (baseado no erro/output da verificação).
-      - Registrar `loop_hipoteses` em STATE.md.
-      - Incrementar iteração: `loop_iteracao: K+1/<max>`.
-      - Se `K+1 > max`: ir para passo 4 (escalação).
-      - Senão: aplicar fix para a hipótese mais provável → voltar a `c`.
-4. **Escalação (tentativas esgotadas):**
-   - Registrar `loop_status: escalated` em STATE.md.
-   - Exibir no chat: tentativas realizadas, hipóteses testadas, evidência de cada falha.
-   - Sugerir `/oxe-forensics` com contexto: "onda N falhou após <max> tentativas — hipóteses testadas: H1, H2, H3".
-</process>
-
-<success_criteria>
-- [ ] STATE.md tem campos `loop_*` atualizados a cada iteração.
-- [ ] Cada falha gera 2-3 hipóteses registradas antes de tentar fix.
-- [ ] Ao passar: campos `loop_*` limpos; onda marcada como concluída em STATE.md.
-- [ ] Ao esgotar: `loop_status: escalated` + sugestão de `/oxe-forensics` com contexto completo.
-- [ ] Nunca excede `max` iterações configurado.
-- [ ] Não altera `.oxe/PLAN.md` (só implementa o que já está planejado).
-</success_criteria>
+# OXE — Workflow: loop (execução iterativa até verificação passar)
+
+<objective>
+Executar uma **onda do PLAN.md** em ciclo iterativo até que a verificação inline passe ou o limite de tentativas seja atingido. Complementa o **Modo B** (por onda) do **`execute.md`** com retries automáticos e diagnóstico inline de falhas.
+
+Quando verify falha, não interrompe — diagnostica (2-3 hipóteses), corrige, tenta de novo. Escala para **`/oxe-forensics`** apenas quando esgota as tentativas.
+</objective>
+
+<context>
+- **Pré-requisito:** `.oxe/PLAN.md` existente com pelo menos 1 onda; `STATE.md` com fase ≥ `plan_ready`.
+- **Máximo de iterações:** padrão = 3; configurável via argumento `max:<N>` (ex.: `/oxe-loop onda 2 max:5`). Nunca exceder 10.
+- **Artefato:** não cria novos arquivos — atualiza `STATE.md` com campos `loop_*` e registra cada iteração como bloco inline no chat.
+- **Escalação:** se esgotou tentativas e ainda falhou → registrar estado em STATE.md + sugerir `/oxe-forensics` com contexto das hipóteses já tentadas.
+- **Não substitui** `/oxe-verify` global (4 camadas): o loop faz verificação **inline por onda** (comando `**Verificar:**` de cada Tn); o verify completo deve ser chamado ao final de todas as ondas.
+</context>
+
+<loop_state>
+## Campos em STATE.md durante o loop
+
+```yaml
+loop_onda: 2              # número da onda sendo executada
+loop_iteracao: 2/3        # tentativa atual / máximo
+loop_status: retrying     # retrying | passed | escalated
+loop_hipoteses: ["H1: ...", "H2: ..."]  # hipóteses da última falha
+```
+
+Limpar campos `loop_*` ao concluir com `passed` (ou manter `escalated` se escalou para forensics).
+</loop_state>
+
+<process>
+1. Ler `.oxe/STATE.md` e `.oxe/PLAN.md`. Identificar a onda alvo (argumento do usuário ou próxima onda pendente em STATE).
+2. Registrar em STATE.md: `loop_onda: N`, `loop_iteracao: 1/<max>`, `loop_status: retrying`.
+3. **Iteração:**
+   a. Listar tarefas da onda N com seus comandos `**Verificar:**`.
+   b. Implementar todas as tarefas da onda (seguindo `execute.md` `<modo_solo>`).
+   c. Executar os comandos `Verificar` de cada `Tn`.
+   d. **Se todos passaram:** registrar `loop_status: passed`; limpar campos `loop_*`; atualizar STATE.md com onda concluída; informar usuário e sugerir próxima onda ou `/oxe-verify`.
+   e. **Se algum falhou:**
+      - Listar 2-3 hipóteses de causa (baseado no erro/output da verificação).
+      - Registrar `loop_hipoteses` em STATE.md.
+      - Incrementar iteração: `loop_iteracao: K+1/<max>`.
+      - Se `K+1 > max`: ir para passo 4 (escalação).
+      - Senão: aplicar fix para a hipótese mais provável → voltar a `c`.
+4. **Escalação (tentativas esgotadas):**
+   - Registrar `loop_status: escalated` em STATE.md.
+   - Exibir no chat: tentativas realizadas, hipóteses testadas, evidência de cada falha.
+   - Sugerir `/oxe-forensics` com contexto: "onda N falhou após <max> tentativas — hipóteses testadas: H1, H2, H3".
+</process>
+
+<success_criteria>
+- [ ] STATE.md tem campos `loop_*` atualizados a cada iteração.
+- [ ] Cada falha gera 2-3 hipóteses registradas antes de tentar fix.
+- [ ] Ao passar: campos `loop_*` limpos; onda marcada como concluída em STATE.md.
+- [ ] Ao esgotar: `loop_status: escalated` + sugestão de `/oxe-forensics` com contexto completo.
+- [ ] Nunca excede `max` iterações configurado.
+- [ ] Não altera `.oxe/PLAN.md` (só implementa o que já está planejado).
+</success_criteria>

package/oxe/workflows/next.md

@@ -13,7 +13,10 @@ Inspecionar `.oxe/STATE.md` e a existência de `SPEC.md`, `PLAN.md`, `QUICK.md`,
 <process>
 1. Se `.oxe/` ou `STATE.md` não existir → **único** passo: **scan** (ou `oxe-cc init-oxe` seguido de scan).
 2. Se não houver `.oxe/codebase/*.md` completos (sete mapas) e o trabalho **não** for só um quick isolado → **scan**.
-3. Se fase `quick_active` ou existir `QUICK.md` **sem** `PLAN.md` → se o `QUICK.md` tiver **mais de 10 passos**, ou o utilizador/descrição indicar **contrato público**, **segurança**, **dados pessoais**, ou **>8 ficheiros** tocados ou previstos → **spec** (promoção obrigatória, um único passo); senão → **execute** (há passos curtos a implementar) desde que o QUICK não declare **Promover para spec/plan?** `sim`.
+3. Se fase `quick_active` ou existir `QUICK.md` **sem** `PLAN.md`:
+   - Se `QUICK.md` contiver linha `Promover para spec/plan?: sim` → **spec** (promoção declarada pelo autor; ignorar demais heurísticas).
+   - Se o `QUICK.md` tiver **mais de 10 passos**, ou o utilizador/descrição indicar **contrato público**, **segurança**, **dados pessoais**, ou **>8 ficheiros** tocados ou previstos → **spec** (promoção obrigatória).
+   - Senão → **execute** (há passos curtos a implementar).
 4. Se não houver `SPEC.md` e não for quick intencional declarado → **spec** (passo único).
 5. Se houver SPEC mas não PLAN → se `.oxe/config.json` tiver `discuss_before_plan: true` e faltar **`.oxe/DISCUSS.md`** com decisões → **discuss**; senão → **plan**.
 6. Se PLAN existe, **VERIFY.md** ainda **não** existe ou está claramente antes da implementação atual → **execute** (onda atual).

package/oxe/workflows/obs.md

@@ -31,6 +31,8 @@ Arquivo: **`.oxe/OBSERVATIONS.md`**
 
 ### OBS-001 — 2026-04-04 | execute/T3
 **Impacto:** spec, plan
+**Afeta (spec):** R3, R5
+**Afeta (plan):** T4, T7
 **Status:** pendente
 
 JWT expiration deve ser configurável via `JWT_EXPIRES_IN` env var, não hardcoded 7d.
@@ -47,6 +49,16 @@ API deve retornar mensagens de erro em português do Brasil.
 **IDs:** sequenciais `OBS-001`, `OBS-002`, … (continuar do último ID existente no arquivo).
 
 **Impacto:** classificar automaticamente com base no conteúdo:
+
+| Texto menciona | Impacto atribuído |
+|----------------|------------------|
+| Requisitos, critérios A*, escopo, SPEC | `spec` |
+| Tarefas Tn, ondas, verificação, PLAN | `plan` |
+| Implementação, arquivos de código, comportamento técnico | `execute` |
+| Dois ou mais dos acima, ou restrição global | `all` |
+
+Se ambíguo, usar `all` (princípio de maior abrangência).
+
 - `spec` — afeta requisitos, critérios de aceite ou escopo
 - `plan` — afeta tarefas, ondas, dependências ou verificação
 - `execute` — afeta a implementação da tarefa atual ou próxima
@@ -59,6 +71,11 @@ API deve retornar mensagens de erro em português do Brasil.
 1. Ler **`.oxe/STATE.md`**: capturar `phase`, `last_task` ou tarefa ativa na onda, `active_workstream`.
 2. Determinar o **próximo ID** (OBS-NNN): contar entradas existentes em `.oxe/OBSERVATIONS.md` ou começar em OBS-001.
 3. Classificar o **impacto** automaticamente com base no texto; se ambíguo, usar `all`.
+3b. **Propagação automática de constraints:**
+   - Se existir **`.oxe/SPEC.md`**: ler a tabela de requisitos (R-ID) e critérios (A*) e identificar quais são diretamente afetados pelo texto da observação. Registrar em `**Afeta (spec):**`.
+   - Se existir **`.oxe/PLAN.md`**: ler as tarefas (Tn) e identificar quais podem precisar de ajuste no campo `Verificar` ou `Implementar`. Registrar em `**Afeta (plan):**`.
+   - Se nenhum R-ID ou Tn identificável: registrar `**Afeta:** (a cruzar na próxima incorporação)`.
+   - Esta propagação é automática e não requer input do usuário.
 4. Criar ou atualizar **`.oxe/OBSERVATIONS.md`**:
    - Adicionar linha na tabela de índice.
    - Adicionar seção `### OBS-NNN` com contexto, impacto, status e texto.

package/oxe/workflows/oxe.md

@@ -1,115 +1,115 @@
-# OXE — Workflow: oxe (entrada universal)
-
-<objective>
-Ponto de entrada inteligente do OXE. Faz uma de três coisas dependendo do input do usuário:
-
-1. **Sem input / "o que faço agora?"** → lê `STATE.md` e recomenda exatamente 1 próximo passo (lógica de `next.md`).
-2. **Input em linguagem natural** (ex.: "quero adicionar login", "preciso revisar um PR") → traduz para o comando OXE correto e executa ou orienta (lógica de `route.md`).
-3. **"help", "o que é OXE" ou "comandos"** → apresenta o fluxo dos 8 comandos essenciais e a cadeia canônica.
-
-**Princípio:** o usuário não precisa decorar o nome do comando — `/oxe [contexto]` resolve.
-</objective>
-
-<context>
-- Este workflow **não gera artefatos** por conta própria. Ele orienta ou delega para o workflow correto.
-- Lê `STATE.md` quando disponível para personalizar a resposta ao estado atual do projeto.
-- Quando o input for claro o suficiente para um workflow específico, **executar diretamente** esse workflow (carregar e seguir o `.md` correspondente) em vez de só sugerir o comando.
-- Quando houver ambiguidade genuína, apresentar 2 opções e pedir escolha — nunca listas longas.
-</context>
-
-<modo_status>
-## Modo: Status + Próximo Passo (sem input ou "o que faço agora?")
-
-Aplicar a lógica completa de `oxe/workflows/next.md`:
-
-1. Se `.oxe/` ou `STATE.md` não existir → **scan** (`npx oxe-cc@latest` primeiro se OXE não instalado)
-2. Se `.oxe/codebase/` incompleto e não for quick isolado → **scan**
-3. Se `quick_active` ou `QUICK.md` sem `PLAN.md` → avaliar promoção (ver `next.md`)
-4. Se sem `SPEC.md` → **spec**
-5. Se SPEC mas sem PLAN → verificar `discuss_before_plan` → **discuss** ou **plan**
-6. Se PLAN sem VERIFY pós-implementação → **execute** ou **verify**
-7. Se VERIFY com falha → **plan --replan**
-8. Se VERIFY OK → próxima feature ou milestone
-
-**Saída:** exatamente 1 passo, 1 comando, 1 frase de justificativa.
-</modo_status>
-
-<modo_route>
-## Modo: Roteamento de Linguagem Natural (input com contexto)
-
-Mapear o input para o workflow correto e executar ou orientar:
-
-| Se o usuário disser | Executar |
-|---------------------|----------|
-| "quero [feature / tarefa / entrega]" | Verificar estado → **spec** ou **quick** |
-| "analisa / mapeia o projeto" | **scan** (modo refresh se codebase/ existir) |
-| "pesquisa / spike / quero entender X" | **research** |
-| "revisa PR / diff" | **review-pr** |
-| "auditoria de segurança" | **security** |
-| "valida / verifica" | **verify** |
-| "milestone / release / versão" | **project milestone** |
-| "trilha paralela / workstream" | **project workstream** |
-| "snapshot / checkpoint" | **project checkpoint** |
-| "recuperação / erro / algo quebrou" | **forensics** |
-| "debug / teste falhando" | **debug** |
-| "obs / observação / nota" | **obs** |
-| "atualiza / update OXE" | **update** |
-
-Se o input não mapear claramente → apresentar 2 opções mais prováveis e perguntar.
-</modo_route>
-
-<modo_help>
-## Modo: Help (quando o usuário pede "help", "o que é OXE", "comandos")
-
-Apresentar de forma concisa:
-
-### Os 8 comandos que você precisa conhecer
-
-```
-/oxe              → onde estou / o que faço / help
-/oxe-obs          → registrei algo importante agora
-/oxe-quick        → tarefa pequena, sem cerimônia
-/oxe-scan         → mapeia o projeto (ou atualiza o mapa)
-/oxe-spec         → nova feature ou entrega: perguntas → requisitos → roteiro
-/oxe-plan         → detalhar em tarefas (--agents para multi-agente)
-/oxe-execute      → implementar (A: completo | B: por onda | C: por tarefa)
-/oxe-verify       → validar que está pronto
-```
-
-### A cadeia
-
-```
-/oxe-obs (qualquer momento)
-     ↓
-/oxe-scan → /oxe-spec → /oxe-plan → /oxe-execute → /oxe-verify
-                                  ↓
-                           /oxe-quick (trabalho pequeno)
-```
-
-### Para saber o próximo passo agora
-
-```
-/oxe
-```
-
-### Escape hatches (não precisa decorar — aparecem quando necessários)
-
-`/oxe-research`, `/oxe-forensics`, `/oxe-debug`, `/oxe-loop`, `/oxe-security`,
-`/oxe-validate-gaps`, `/oxe-ui-spec`, `/oxe-ui-review`, `/oxe-review-pr`,
-`/oxe-project` (milestone, workstream, checkpoint)
-</modo_help>
-
-<process>
-1. Verificar se há input adicional na mensagem:
-   - **Sem input ou "next / o que faço / status":** aplicar `<modo_status>`.
-   - **"help / comandos / o que é OXE":** aplicar `<modo_help>`.
-   - **Qualquer outra coisa (linguagem natural com contexto):** aplicar `<modo_route>` e, se o workflow for claro, carregar e executar diretamente o `oxe/workflows/<nome>.md` correspondente.
-2. Nunca produzir listas longas de alternativas. Um passo, um comando, uma frase.
-3. Se o workflow executado diretamente gerar artefatos, reportar no chat conforme esse workflow.
-</process>
-
-<success_criteria>
-- [ ] Usuário recebe exatamente 1 próximo passo (modo status) OU 1 workflow executado (modo route) OU o bloco help compacto (modo help).
-- [ ] Nenhum artefato criado por este workflow diretamente (a menos que o workflow delegado o faça).
-- [ ] Nunca lista mais de 2 alternativas ao mesmo tempo.
-</success_criteria>
+# OXE — Workflow: oxe (entrada universal)
+
+<objective>
+Ponto de entrada inteligente do OXE. Faz uma de três coisas dependendo do input do usuário:
+
+1. **Sem input / "o que faço agora?"** → lê `STATE.md` e recomenda exatamente 1 próximo passo (lógica de `next.md`).
+2. **Input em linguagem natural** (ex.: "quero adicionar login", "preciso revisar um PR") → traduz para o comando OXE correto e executa ou orienta (lógica de `route.md`).
+3. **"help", "o que é OXE" ou "comandos"** → apresenta o fluxo dos 8 comandos essenciais e a cadeia canônica.
+
+**Princípio:** o usuário não precisa decorar o nome do comando — `/oxe [contexto]` resolve.
+</objective>
+
+<context>
+- Este workflow **não gera artefatos** por conta própria. Ele orienta ou delega para o workflow correto.
+- Lê `STATE.md` quando disponível para personalizar a resposta ao estado atual do projeto.
+- Quando o input for claro o suficiente para um workflow específico, **executar diretamente** esse workflow (carregar e seguir o `.md` correspondente) em vez de só sugerir o comando.
+- Quando houver ambiguidade genuína, apresentar 2 opções e pedir escolha — nunca listas longas.
+</context>
+
+<modo_status>
+## Modo: Status + Próximo Passo (sem input ou "o que faço agora?")
+
+Aplicar a lógica completa de `oxe/workflows/next.md`:
+
+1. Se `.oxe/` ou `STATE.md` não existir → **scan** (`npx oxe-cc@latest` primeiro se OXE não instalado)
+2. Se `.oxe/codebase/` incompleto e não for quick isolado → **scan**
+3. Se `quick_active` ou `QUICK.md` sem `PLAN.md` → avaliar promoção (ver `next.md`)
+4. Se sem `SPEC.md` → **spec**
+5. Se SPEC mas sem PLAN → verificar `discuss_before_plan` → **discuss** ou **plan**
+6. Se PLAN sem VERIFY pós-implementação → **execute** ou **verify**
+7. Se VERIFY com falha → **plan --replan**
+8. Se VERIFY OK → próxima feature ou milestone
+
+**Saída:** exatamente 1 passo, 1 comando, 1 frase de justificativa.
+</modo_status>
+
+<modo_route>
+## Modo: Roteamento de Linguagem Natural (input com contexto)
+
+Mapear o input para o workflow correto e executar ou orientar:
+
+| Se o usuário disser | Executar |
+|---------------------|----------|
+| "quero [feature / tarefa / entrega]" | Verificar estado → **spec** ou **quick** |
+| "analisa / mapeia o projeto" | **scan** (modo refresh se codebase/ existir) |
+| "pesquisa / spike / quero entender X" | **research** |
+| "revisa PR / diff" | **review-pr** |
+| "auditoria de segurança" | **security** |
+| "valida / verifica" | **verify** |
+| "milestone / release / versão" | **project milestone** |
+| "trilha paralela / workstream" | **project workstream** |
+| "snapshot / checkpoint" | **project checkpoint** |
+| "recuperação / erro / algo quebrou" | **forensics** |
+| "debug / teste falhando" | **debug** |
+| "obs / observação / nota" | **obs** |
+| "atualiza / update OXE" | **update** |
+
+Se o input não mapear claramente → apresentar 2 opções mais prováveis e perguntar.
+</modo_route>
+
+<modo_help>
+## Modo: Help (quando o usuário pede "help", "o que é OXE", "comandos")
+
+Apresentar de forma concisa:
+
+### Os 8 comandos que você precisa conhecer
+
+```
+/oxe              → onde estou / o que faço / help
+/oxe-obs          → registrei algo importante agora
+/oxe-quick        → tarefa pequena, sem cerimônia
+/oxe-scan         → mapeia o projeto (ou atualiza o mapa)
+/oxe-spec         → nova feature ou entrega: perguntas → requisitos → roteiro
+/oxe-plan         → detalhar em tarefas (--agents para multi-agente)
+/oxe-execute      → implementar (A: completo | B: por onda | C: por tarefa)
+/oxe-verify       → validar que está pronto
+```
+
+### A cadeia
+
+```
+/oxe-obs (qualquer momento)
+     ↓
+/oxe-scan → /oxe-spec → /oxe-plan → /oxe-execute → /oxe-verify → /oxe-retro
+                                  ↓
+                           /oxe-quick (trabalho pequeno)
+```
+
+### Para saber o próximo passo agora
+
+```
+/oxe
+```
+
+### Escape hatches (não precisa decorar — aparecem quando necessários)
+
+`/oxe-research`, `/oxe-forensics`, `/oxe-debug`, `/oxe-loop`, `/oxe-security`,
+`/oxe-validate-gaps`, `/oxe-ui-spec`, `/oxe-ui-review`, `/oxe-review-pr`,
+`/oxe-project` (milestone, workstream, checkpoint)
+</modo_help>
+
+<process>
+1. Verificar se há input adicional na mensagem:
+   - **Sem input ou "next / o que faço / status":** aplicar `<modo_status>`.
+   - **"help / comandos / o que é OXE":** aplicar `<modo_help>`.
+   - **Qualquer outra coisa (linguagem natural com contexto):** aplicar `<modo_route>` e, se o workflow for claro, carregar e executar diretamente o `oxe/workflows/<nome>.md` correspondente.
+2. Nunca produzir listas longas de alternativas. Um passo, um comando, uma frase.
+3. Se o workflow executado diretamente gerar artefatos, reportar no chat conforme esse workflow.
+</process>
+
+<success_criteria>
+- [ ] Usuário recebe exatamente 1 próximo passo (modo status) OU 1 workflow executado (modo route) OU o bloco help compacto (modo help).
+- [ ] Nenhum artefato criado por este workflow diretamente (a menos que o workflow delegado o faça).
+- [ ] Nunca lista mais de 2 alternativas ao mesmo tempo.
+</success_criteria>