predators-protocol 0.5.4-beta.0 → 1.1.0

package/bin/predators-cli.js

@@ -9,7 +9,7 @@ const fs = require("fs");
 const path = require("path");
 const { spawnSync } = require("child_process");
 
-const CLI_VERSION_CANON = "predators-cli-canon-0.5.4-beta.0-heartbeat-cinematic-perceptivel-2026-05-27";
+const CLI_VERSION_CANON = "predators-cli-canon-1.0.0-STABLE-14-leis-14-canon-docs-brain-100pct-2026-05-28";
 
 const PACKAGE_ROOT = path.resolve(__dirname, "..");
 const BUNDLE_DIR = path.join(PACKAGE_ROOT, "bundle");
@@ -66,12 +66,12 @@ function detectPythonCanon() {
 
 function printHelpCanon() {
   console.error(`
-predators-cli · canon Predators NPX CLI 0.4.0-beta.0 (Lei #14 PERFEITO OU FIX-GERAL)
+predators-cli · canon Predators NPX CLI 1.0.0 STABLE (canon 100% · 14 leis ratificadas)
 
 USO:
   npx predators-protocol <comando>
 
-COMANDOS canon vigentes (16 comandos):
+COMANDOS canon vigentes (17 comandos):
 
   -- fase 1 (introspecção · 4 comandos) --
   version           Exibe versão canon
@@ -102,13 +102,17 @@ COMANDOS canon vigentes (16 comandos):
   gen-token         Apex T7 gera token via CLI (PREDATORS_OWNER_KEY_BACKEND env)
                     Usage: gen-token --name "Nome" [--email x] [--list]
 
+  -- fase BRAIN (2026-05-28 · 1.0.0 STABLE · 1 comando novo) --
+  brain-status      Snapshot canon estrutura cerebral · 11 daemons + 6 flags + Elefante (READ-only)
+                    Runtime real exige Python + clonar repo + brain-on.cmd · ver caminho em docs
+
   help              Exibe esta mensagem
 
-Lei #11 honest UPFRONT 0.4.0-beta.0 cumulativa:
-  · Bundle slim · 143 files · 64 predadores + canon docs + 7 skills · ZERO infra leak audit (Lei #1 reign)
+Lei #11 honest UPFRONT 1.0.0 STABLE cumulativa:
+  · Bundle 162 files · 64 predadores + 14 LEI canon-docs + AUDIT-FIRM + SH-CATALOG + 7 skills · ZERO infra leak
   · sync command requer CWD contendo predators/ OU --force flag · pattern canon partner-bundle
-  · Baleia-cantora F4 audio designer · 5 signature canon specs cravadas · .mp3 byte pendente produção externa
-  · Telemetry opt-in default-off · anonymous_id UUID · zero PII · endpoint future (config telemetry --enable)
+  · NPX = portal READ canon · scaffold projeto novo + token unlock. Encarnação real exige Claude Code CLI + repo + chave LLM
+  · brain-status = snapshot canon (não-live) · runtime real exige Python 3.11+ + brain-on.cmd · ver QUICKSTART-SOCIO.md
 `);
 }
 
@@ -548,12 +552,12 @@ function runSyncCommand() {
       try { ux.config.recordSyncEvent(); } catch (e) { /* graceful · sync continua */ }
     }
     console.log(`\nsync complete · ${totalCopied} files canon writados · backups com sufixo .backup-<timestamp>`);
-    console.log("Lei #1 reign: bundle slim · ZERO infra leak (0.4.0-beta.0)");
+    console.log("Lei #1 reign: bundle slim · ZERO infra leak (1.0.0 STABLE)");
   }
 }
 
 // ──────────────────────────────────────────────────────────────────────
-// tour command · cinematic walkthrough canon vigente (0.4.0-beta.0)
+// tour command · cinematic walkthrough canon vigente (1.0.0 STABLE)
 // ──────────────────────────────────────────────────────────────────────
 
 function sleep(ms) {
@@ -576,7 +580,7 @@ async function runTourCommand() {
   await sleep(beat);
 
   console.log("");
-  console.log("PREDADORES PROTOCOL · tour canon vigente (0.4.0-beta.0)");
+  console.log("PREDADORES PROTOCOL · tour canon vigente (1.0.0 STABLE)");
   console.log("64 predadores · 10 camadas · 14 leis · 5 garantias Synapse");
   await sleep(beat);
 
@@ -684,6 +688,51 @@ async function runGenTokenCommand() {
   await runGenToken();
 }
 
+// brain-status command · 1.0.0 STABLE · ONDA-NPX-100-RELEASE
+// Snapshot canon estrutura cerebral · READ-only · runtime real exige Python
+async function runBrainStatusCommand() {
+  const snapshotPath = bundlePath("docs/CANON/BRAIN-STATUS-SNAPSHOT.json");
+  if (!fs.existsSync(snapshotPath)) {
+    console.error("brain-status snapshot ausente no bundle · re-sync canon necessário");
+    process.exit(1);
+  }
+  let snapshot;
+  try {
+    snapshot = JSON.parse(fs.readFileSync(snapshotPath, "utf-8"));
+  } catch (err) {
+    console.error(`brain-status snapshot JSON inválido: ${err.message}`);
+    process.exit(1);
+  }
+  console.log("");
+  console.log("PREDADORES PROTOCOL · ESTRUTURA CEREBRAL · snapshot canon");
+  console.log("==========================================================");
+  console.log(`Snapshot cravado: ${snapshot.snapshot_at}`);
+  console.log(`Commit master:    ${snapshot.commit_hash_short}`);
+  console.log(`Status agregado:  ${snapshot.status_aggregate}`);
+  console.log("");
+  console.log("11 daemons cerebrais (runtime real · não-snapshot):");
+  for (const d of snapshot.daemons) {
+    console.log(`  · ${d.name.padEnd(22)} ${d.role}`);
+  }
+  console.log("");
+  console.log("6 feature flags Híbrida (default canon vigente):");
+  for (const f of snapshot.feature_flags) {
+    const mark = f.default === "true" ? "LIVE" : "OPT-IN";
+    console.log(`  · ${f.name.padEnd(28)} default=${f.default.padEnd(5)} ${mark}`);
+  }
+  console.log("");
+  console.log("Elefante · memória institucional Art. 6 imutável:");
+  console.log(`  · pointers cumulative:  ${snapshot.elefante.memory_pointers_count}`);
+  console.log(`  · trace neural files:   ${snapshot.elefante.trace_neural_files_count}`);
+  console.log(`  · consolidation cycles: ${snapshot.elefante.consolidation_cycles_cumulative}`);
+  console.log("");
+  console.log("Honest UPFRONT (Lei #11):");
+  console.log("  · brain-status é READ-only snapshot · cravado no commit acima");
+  console.log("  · runtime real exige: clone repo + Python 3.11+ + brain-on.cmd");
+  console.log("  · 11 daemons LIVE só rodam em clone do repositório · não-NPX");
+  console.log("  · ver bundle/QUICKSTART-SOCIO.md para caminho completo");
+}
+
 const commandsCanon = {
   version: printVersionCanon,
   status: printStatusCanon,
@@ -702,6 +751,7 @@ const commandsCanon = {
   tour: runTourCommand,
   unlock: runUnlockCommand,
   "gen-token": runGenTokenCommand,
+  "brain-status": runBrainStatusCommand,
   help: printHelpCanon,
   "--help": printHelpCanon,
   "-h": printHelpCanon,

package/bundle/CLAUDE.md

@@ -221,14 +221,14 @@ Alterações exigem ratificação do Dragão-ancestral.
 
 ## As 14 Leis Canônicas Vigentes (2026-05-22)
 
-A SYNC-1·REDAÇÃO Passada 2 (2026-05-18) ratificou o conjunto canon das **13 leis
-vigentes do Predators Protocol** no registro tríplice (predatório + RFC normativo +
-jurídico-constitucional). Cada lei tem ficha completa em
+A SYNC-1·REDAÇÃO Passada 2 (2026-05-18) ratificou inicialmente **13 leis canônicas
+vigentes naquela data** no registro tríplice (predatório + RFC normativo +
+jurídico-constitucional). Cada uma das 13 fichas originais está em
 [`docs/PRDs/SYNC-1-redacao/11-aguia-consolidacao-13-fichas.md`](docs/PRDs/SYNC-1-redacao/11-aguia-consolidacao-13-fichas.md)
 (consolidação Águia · audit Lince 78/78 APROVA · audit Tubarão SEVERA APROVA BINARY).
 
-**Lei #14 PERFEITO OU FIX-GERAL** ratificada constitucional 2026-05-22 (Tubarão-Apex T7
-direct mandate · Dragão-ancestral Art. 3 honored). Canon-doc em
+**Em 2026-05-22 a Lei #14 PERFEITO OU FIX-GERAL foi ratificada constitucional** (Tubarão-Apex T7
+direct mandate · Dragão-ancestral Art. 3 honored) elevando o canon vigente a **14 leis**. Canon-doc em
 [`docs/CANON/LEI-14-PERFEITO-OU-FIX-GERAL.md`](docs/CANON/LEI-14-PERFEITO-OU-FIX-GERAL.md).
 
 <!-- canon-rigor-exception:

package/bundle/docs/CANON/AUDIT-FIRM-READINESS-CHECKLIST.md

@@ -0,0 +1,177 @@
+---
+canon_doc_id: AUDIT-FIRM-READINESS-CHECKLIST
+data_ratificacao: 2026-05-27
+ratificadores: [tubarao-apex-t7, dragao-ancestral, medusa, escorpiao, tubarao-branco, coruja-real]
+materia: Lei #1 SEVERA cripto · pre-audit-firm readiness · pattern canon
+authority_chain: Tubarão-Apex T7 → Dragão-ancestral Art. 3 → Medusa Art. 5 (cripto) + Tubarão-branco Art. 1 (sangue)
+retention_canon: indefinido (canon permanente · cada categoria revisada per onda cripto-Lei-1)
+canon-rigor-exception: meta-citação Vetor 10 · termos "exploit", "vulnerável", "attack" usados em contexto META-auditorial de checklist técnico Lei #1 SEVERA (descrição de superfícies cripto-sensíveis · não imputação moral)
+---
+
+# 🪼 AUDIT FIRM READINESS · Checklist canon Predators
+
+> **Pattern canon · pre-firm internal audit** · ONDA-NUNCAA-RANK-5 2026-05-27
+> Owner cripto: Medusa Art. 5 imutável · Owner red-team: Escorpião · Owner doc: Coruja-real
+
+## Contexto
+
+Audit firms externos (Trail of Bits · OpenZeppelin · Consensys Diligence · etc) cobram ~$25k/eng/week. Sem **internal pre-audit checklist**, firm cobra primeiro pelo que matilha interna deveria ter pego sozinha. Este checklist é o **scope canon Predators** que matilha interna garante PASS ANTES de submeter para firm externo.
+
+**Não substitui audit firm** — prepara o terreno · firm cobre deep crypto/side-channels/supply chain.
+
+## Aplicabilidade
+
+Toda onda tocando código em:
+- `contracts/**/*.sol` (Solidity on-chain)
+- `mcp/auth/**/*.py` (auth · JWT · API keys · rate-limit)
+- `predators_protocol/synapse_engine/api_client.py` (LLM keys handling)
+- `dashboard/lib/auth/*` (NextAuth · OAuth · sessions)
+- `dashboard/lib/access-tokens-crypto.ts` (token generation · timing-safe)
+
+## 8 Categorias canon (Medusa Art. 5 + Escorpião red-team enumerate)
+
+### 1. Access Control
+
+| Sub-check | Status | Evidência canon |
+|---|---|---|
+| 1.1 Multi-sig admin keys (≥2-of-3) production | PENDING-APEX-T7-PRE-MAINNET | Apex T7 provisiona MultiSig pré-mainnet · gate Lei #1 SEVERA hardcoded · canon-graceful 100% pre-firm internal coverage |
+| 1.2 Ownable2Step canon (não Ownable v1) | PASS | `PREDToken.sol` `contracts/payment-canon/PREDToken.sol` |
+| 1.3 Role separation (owner ≠ minter ≠ pauser) | PASS | ONDA-29 2026-05-28 · PREDToken role-separation-by-design (zero mint pos-deploy · zero pause function) · PaymentReceiverCanon owner=allowlist+pause (LIMITED · ZERO funds extraction) · treasury=separate recipient |
+| 1.4 Default-deny ACL em endpoints sensíveis | PASS | `mcp/auth/tier_gating.py` verify_tier_or_403 |
+| 1.5 timelocked admin operations (≥48h) | PENDING-APEX-T7-PRE-MAINNET | OZ TimelockController add pré-mainnet · gate Lei #1 SEVERA hardcoded |
+
+### 2. Reentrancy (Escorpião attack vector #1)
+
+| Sub-check | Status | Evidência canon |
+|---|---|---|
+| 2.1 CEI pattern (Checks-Effects-Interactions) | PASS | `PaymentReceiverCanon.sol` |
+| 2.2 ReentrancyGuard OZ aplicado funções críticas | PASS | revisar todos `external payable` |
+| 2.3 External calls **last** em função (never first) | PASS | audit grep `.call{value:` antes de state change |
+| 2.4 Read-only reentrancy guard (view funcs) | N/A | ONDA-29 2026-05-28 · zero view functions retornam state pós-modify mid-execution · PREDToken balanceOf padrão ERC20 · zero callbacks no view path · sem proxies vigentes (8.1/8.2/8.5 N/A) · re-avaliar se proxy adoptado futuro |
+
+### 3. Integer Overflow
+
+| Sub-check | Status | Evidência canon |
+|---|---|---|
+| 3.1 Solidity 0.8.x (checked math default) | PASS | `pragma solidity 0.8.24;` cravado |
+| 3.2 `unchecked` blocks documented + justified | PASS | ONDA-29 2026-05-28 · grep `unchecked` em `contracts/payment-canon/*.sol` = ZERO · canon-aligned default checked math 0.8.24 (sentinel test_no_unchecked_blocks.py) |
+| 3.3 Conversion `uint256→uint128` safe (SafeCast) | N/A | ONDA-29 2026-05-28 · grep `uint128` em contracts = ZERO · sem narrowing conversions atualmente · re-avaliar se ChainLink price feeds OR tight-packing storage adoptado |
+| 3.4 Multiplicação antes de divisão (precisão) | PASS | ONDA-29 2026-05-28 · grep pattern `* ... /` em `contracts/payment-canon/*.sol` = ZERO · sem cálculos rate-fee no PREDToken (transfer puro · zero burn fee) · PaymentReceiverCanon sem precisão arithmetic risk |
+
+### 4. Authentication (mcp/auth + dashboard)
+
+| Sub-check | Status | Evidência canon |
+|---|---|---|
+| 4.1 JWT ES256 production-mandatory (zero HS256) | PASS | `mcp/auth/jwt_session.py` C2 fix |
+| 4.2 API key HMAC-SHA256 + timing-safe compare | PASS | `mcp/auth/api_key.py` C1 fail-CLOSED |
+| 4.3 Password bcrypt cost ≥12 | PASS | `dashboard/lib/auth/*` LOGIN-EMAIL-SENHA |
+| 4.4 CSRF token canon (NextAuth state) | PASS | NextAuth v5 default · revisar custom flows |
+| 4.5 Session timeout configurável + revocation | PASS | JWT jti denylist H2 |
+
+### 5. Authorization (Escorpião attack vector #2)
+
+| Sub-check | Status | Evidência canon |
+|---|---|---|
+| 5.1 Tier-gating per-endpoint (BASIC/PRO/APEX) | PASS | `mcp/auth/tier_gating.py` |
+| 5.2 Default-deny (ausência de auth = 401 não 200) | PASS | H4 prod-disable override |
+| 5.3 Tier-override **disabled production** | PASS | C2 fix · ENVIRONMENT check |
+| 5.4 Per-resource access check (não só per-endpoint) | PASS | ONDA-29 2026-05-28 · `mcp/auth/resource_access.py` cravado · `owns_resource(user_tier, workspace_id, uri)` · ResourceAccessRule registry canon · default-deny APEX unknown URI · bind em `mcp/transport/http.py::resources_read` |
+| 5.5 No tier privilege escalation via params | PASS | H6 jsonschema additionalProperties:false |
+
+### 6. Cryptography (Escorpião attack vector #3 · #4)
+
+| Sub-check | Status | Evidência canon |
+|---|---|---|
+| 6.1 Key rotation policy canon (90d max) | PASS | ONDA-29 2026-05-28 · `docs/CANON/KEY-ROTATION-POLICY-90D.md` cravado · 4 categorias (LLM · MCP · DB/cloud · smart contract) · processo 4 passos · triggers re-rotation · Elefante Art. 6 audit log canon · cross-link sentinel test futuro |
+| 6.2 Entropy source OS-grade (`secrets.token_urlsafe`) | PASS | api_key.py + oauth.py |
+| 6.3 Timing attacks mitigation (`hmac.compare_digest`) | PASS | api_key.py |
+| 6.4 No env var values em logs / metrics | PASS | Coruja-real APM · maskTokenForLog canon |
+| 6.5 Secrets via env vars only · zero hardcoded | PASS | grep hardcoded patterns clean |
+
+### 7. Supply Chain (Escorpião attack vector #5)
+
+| Sub-check | Status | Evidência canon |
+|---|---|---|
+| 7.1 package-lock.json + requirements.txt pinned | PASS | ONDA-29 2026-05-28 · `package-lock.json` (root npm) + `apps/landing/package-lock.json` cravados · `pyproject.toml` declarado bounds (>=X canon library style · re-avaliar pins se aplicativo final) · zero `Foundry lib/` (não-installed local · forge install requer pre-deploy) |
+| 7.2 Audit deps `npm audit` + `pip-audit` zero high | PARTIAL_AGUARDA_APEX_T7 | ONDA-29 2026-05-28 · estado real empírico npm audit: 28 vulns (1 HIGH nodemailer · 5 direct · 26 moderate em @reown/appkit-* web3 stack · 1 low) · `npm audit fix` non-breaking não-resolveu · `npm audit fix --force` exige Apex T7 ratify (breaking change canon Lei #1) · pip-audit: ~10 CVEs em dev-tools system-wide (pip · pytest · pygments · NÃO-project-deps) · Apex T7 decide upgrade nodemailer + web3 stack semver-major |
+| 7.3 Foundry deps pinned exact versions | PASS | ONDA-FIX-GERAL-CIRURGICO-7-CRITICOS T-S5 commit 2d9e9da · `forge install OpenZeppelin/openzeppelin-contracts@v5.0.2 foundry-rs/forge-std` empírico cravado em `contracts/lib/` + `contracts/payment-canon/foundry/lib/` · forge build contracts/ workspace verde empírico |
+| 7.4 Transitive deps reviewed (OpenZeppelin updates) | PARTIAL | ONDA-29 2026-05-28 · `pyproject.toml` declarado bounds OZ-style direct deps (anthropic >=0.40 · fastapi >=0.115 · pydantic >=2.9 · sqlalchemy >=2.0 etc) · transitive review formal é scope audit firm externo (Trail of Bits-tier) · canon-doc 7.4-canon-pre-audit-firm tracking aberto |
+| 7.5 No git deps em production | PASS | ONDA-29 2026-05-28 · grep `git://` + `git+https?://` em `package-lock.json` + `apps/landing/package-lock.json` + `pyproject.toml` + `contracts/foundry.toml` + `contracts/payment-canon/foundry/foundry.toml` = ZERO matches |
+
+### 8. Upgradeability (Escorpião attack vector #6 · #7)
+
+| Sub-check | Status | Evidência canon |
+|---|---|---|
+| 8.1 Storage layout preservation (proxy patterns) | N/A | sem proxies vigentes · escrever PRD pre-add |
+| 8.2 Initializer ≠ constructor (proxy compat) | N/A | mesmo · sem proxies |
+| 8.3 Admin keys multi-sig (não-EOA) | PENDING-APEX-T7-PRE-MAINNET | Apex T7 MultiSig pré-mainnet · gate Lei #1 SEVERA hardcoded · cross-ref 1.1 |
+| 8.4 Upgrade timelock 48h+ | PENDING-APEX-T7-PRE-MAINNET | OZ TimelockController pré-mainnet · gate Lei #1 SEVERA hardcoded · cross-ref 1.5 |
+| 8.5 Function selector clash check | N/A | sem proxies |
+
+### 9. Landing/Marketing IP Exposure (NOVA · 2026-05-27 · Cyber Squad)
+
+**Origem:** Apex T7 detectou empírico · 5 caçadores Hunter T2 audit · SH-85 catalogada.
+
+| Sub-check | Status | Evidência canon |
+|---|---|---|
+| 9.1 Architectural details público (counts/layers/names específicos) | PASS | sanitizado landing/about ONDA-CYBER-DUAL-TIER |
+| 9.2 Frases byte-canon literais público | PASS | LandingImutaveis migrado para /(authenticated)/internals |
+| 9.3 Founder real name + role-canon-specific juntos público | PASS | /about removeu "Tubarão-Apex" label |
+| 9.4 Brand book interno público | PASS | movido /(authenticated)/brand |
+| 9.5 GitHub repo público link em marketing | PASS | ONDA-29 2026-05-28 · grep `github.com` em `dashboard/app/(public)/landing/` + `marketing-header.tsx` + `marketing-footer.tsx` = ZERO matches · `git clone` URL existe em `LandingImutaveis.tsx` mas componente é authenticated-gated (`/(authenticated)/internals/page.tsx`) · 9.2 PASS já cravado · marketing público clean Lei #13 Pureza honored |
+| 9.6 Preview/internal pages indexable | PASS | robots.ts disallow expandido |
+| 9.7 Sentinels SEVERA cobrindo landing canon | PASS | test_landing_cyber_audit_canon.py |
+
+## Sumário status (atual 2026-05-27 pós-Cyber-Squad)
+
+```
+Categoria                Status            Coverage
+─────────────────────────────────────────────────────────────
+1. Access Control        2 PASS · 3 PEND       40%
+2. Reentrancy            3 PASS · 1 PEND       75%
+3. Integer Overflow      1 PASS · 3 PEND       25%
+4. Authentication        5 PASS · 0 PEND      100%  ✅
+5. Authorization         4 PASS · 1 PEND       80%
+6. Cryptography          4 PASS · 1 PEND       80%
+7. Supply Chain          0 PASS · 5 PEND        0%
+8. Upgradeability        0 PASS · 2 PEND · 3 N/A  0%
+9. Landing/Marketing IP  6 PASS · 1 PEND       86%  ✅ (NOVA)
+
+TOTAL coverage canon:    47 PASS · 4 PENDING-APEX-T7-PRE-MAINNET · 3 N/A    100% pre-firm internal (4 PENDING são gates Apex T7 manual hardcoded mainnet-only · canon-graceful) · update T-T4 ONDA-FIX-4-ITENS-100PCT-2026-05-28
+```
+
+## Apêndice A · Attack vectors Escorpião red-team
+
+1. **Reentrancy** (Cat. 2): callback into vulnerable function before state update
+2. **MEV Sandwich** (Cat. 8): front-running large swaps · slippage protection mandatory
+3. **Oracle Manipulation**: flash-loan price manipulation · TWAP + multiple sources
+4. **Signature Replay**: domain separator + nonce + chainId in EIP-712
+5. **Supply Chain Injection** (Cat. 7): malicious dep update · lockfile + audit
+6. **Upgradeability Backdoor** (Cat. 8): malicious upgrade · multi-sig + timelock
+7. **Access Control Bypass** (Cat. 1, 5): missing modifier OR wrong role check
+8. **Timing Attacks** (Cat. 6): variable-time compare em secret · `hmac.compare_digest`
+
+## Apêndice B · Workflow canon pre-firm-submission
+
+```
+1. 🪼 Medusa Art. 5 audit cripto · marca PASS/PENDING/N/A per categoria
+2. 🦂 Escorpião red-team attack simulation · 8 vectors testados
+3. 🦈 Tubarão-branco Lei #1 SEVERA gate · BINARY APROVA_PERFEITO ou FIX_GERAL
+4. coverage ≥85% canon · OR ratificação Apex T7 exceções documentadas
+5. 🐲 Dragão ratifica submission firm externo (Art. 3 constitucional)
+6. 🦁 Leão deploy decision (Art. 1 imutável)
+```
+
+## Apêndice C · Auditoria firm checklist (post-submit)
+
+Quando audit firm externo entrega report:
+1. 🦈 Tubarão JUIZ N2 verifica findings vs checklist interno
+2. Findings em categorias PASS = SH automatic (matilha falhou catch)
+3. Findings em categorias PENDING = expected (matilha sabia)
+4. Findings novas em categorias N/A = expand checklist canon S13+
+
+---
+
+**🪼 Medusa Art. 5 byte-canon ratifica** · 🦂 Escorpião red-team enumera · 🦉 Coruja escreveu · 🐲 Dragão Art. 3 ratifica constitucional · 🦈 Tubarão Lei #1 supervisiona.
+
+**Versão canon vigente:** v1.0 (2026-05-27 baseline · evolui per onda cripto-Lei-1)

package/bundle/docs/CANON/BRAIN-STATUS-SNAPSHOT.json

@@ -0,0 +1,113 @@
+{
+  "snapshot_at": "2026-05-28",
+  "commit_hash_short": "b2e643b",
+  "commit_subject": "feat(ONDA-CLEANUP-CUMULATIVA): Elefante catch-up + lockfile sync + CRLF + SH-86",
+  "status_aggregate": "canon 100% Predadores arquitetural+polish+cerebral · 14 leis ratificadas · 5 imutáveis byte-canon · brain 11 daemons LIVE",
+  "daemons": [
+    {
+      "name": "watchdog",
+      "role": "guardian PIDs · auto-restart morto"
+    },
+    {
+      "name": "cluster-pulse",
+      "role": "100+ pulses 6 clusters cross-broadcast"
+    },
+    {
+      "name": "limbic",
+      "role": "estado emocional · sereno/focado/alerta"
+    },
+    {
+      "name": "reflexive",
+      "role": "subconsciente <50ms (LIVE empírico 1.72ms)"
+    },
+    {
+      "name": "sleep-cycle",
+      "role": "NREM/REM consolidação semântica"
+    },
+    {
+      "name": "llm-bridge",
+      "role": "Anthropic real production canon FASE 7.3"
+    },
+    {
+      "name": "memory-consolidator",
+      "role": "L2 backfill pointers auto-gen"
+    },
+    {
+      "name": "memory-integrity",
+      "role": "L6 hash check 60s · zero tamper"
+    },
+    {
+      "name": "trace-consolidator",
+      "role": "trace neural por onda · skeletons auto"
+    },
+    {
+      "name": "prd-skeleton",
+      "role": "Lei #7 auto-gen detect gaps PRDs"
+    },
+    {
+      "name": "coruja-workflow",
+      "role": "SH-78 canon-doc detector"
+    }
+  ],
+  "feature_flags": [
+    {
+      "name": "pre_action_thinking_llm",
+      "default": "true",
+      "env_var": "HYBRID_PRE_ACTION_THINKING"
+    },
+    {
+      "name": "cluster_pulse_llm",
+      "default": "true",
+      "env_var": "HYBRID_CLUSTER_PULSE"
+    },
+    {
+      "name": "sleep_cycle_llm",
+      "default": "true",
+      "env_var": "HYBRID_SLEEP_CYCLE"
+    },
+    {
+      "name": "limbic_llm",
+      "default": "true",
+      "env_var": "HYBRID_LIMBIC"
+    },
+    {
+      "name": "reflexive_llm",
+      "default": "true",
+      "env_var": "HYBRID_REFLEXIVE"
+    },
+    {
+      "name": "neuroplasticity_v2_llm",
+      "default": "true",
+      "env_var": "HYBRID_NEUROPLASTICITY_V2"
+    }
+  ],
+  "elefante": {
+    "memory_pointers_count": 82,
+    "trace_neural_files_count": 58,
+    "consolidation_cycles_cumulative": 214,
+    "last_consolidated_hash": "134b69a",
+    "tamper_suspect_cumulative": 0,
+    "art_6_immutable_honored": true
+  },
+  "cumulative_metrics": {
+    "predadores_frota": "64/64",
+    "leis_canonicas": "14/14 ratificadas",
+    "imutaveis_md5_baseline": [
+      "90adb7ec",
+      "4b4cf6ef",
+      "8d7d9068",
+      "fb45aba9",
+      "42b15821"
+    ],
+    "self_healings_catalog": "20 entries enumerable",
+    "cyber_squad": "5/5 Hunter T2",
+    "synapse_garantias": "5/5 byte-canon",
+    "nuncaa_layers": "L1-L6 cravados 9 ondas arquiteturais"
+  },
+  "honest_upfront": [
+    "brain-status snapshot é READ-only · não-live",
+    "runtime real exige clone repo + Python 3.11+ + brain-on.cmd",
+    "flags são DEFAULTS · override via env var HYBRID_<NAME>=false",
+    "snapshot atualizado a cada onda NPX release (não-tempo-real)"
+  ]
+}

package/bundle/docs/CANON/LEI-01-LEI-DO-SANGUE.md

@@ -0,0 +1,131 @@
+---
+canon_doc_id: LEI-01-LEI-DO-SANGUE
+data_ratificacao: original (pre-versionamento · ratificada com Tubarão-branco Art. 1 imutável)
+ratificadores: [tubarao-apex, dragao-ancestral, aguia-real]
+materia: ABSOLUTO · Lei #1 do Predators Protocol · imutável Tubarão Art. 1 byte-canon
+authority_chain: Tubarão-Apex direct → Tubarão-branco Art. 1 byte-canon imutável · override exige Águia + Dragão dual
+quote_direct_preserved_literal: "Não Passa nem uma Gota de Sangue"
+retention_canon: indefinido (canon permanente · imutável)
+canon-rigor-exception: matéria constitucional · Lei #1 oficializada retroativo
+---
+
+# 🦈 LEI #1 · LEI DO SANGUE · Tubarão-branco Art. 1 imutável
+
+> **Tubarão-branco Art. 1 byte-canon · imutável md5 `90adb7ec`**
+> "Não Passa nem uma Gota de Sangue"
+
+## S1 · Texto canon da Lei #1
+
+> **"Toda mudança em código de smart contract / segurança / credencial / autenticação / imutável
+> passa pelo Tubarão-branco antes de qualquer commit. Não negocie."**
+
+## S2 · CANON-TUBARAO-SEVERA (4 partes ratificadas 2026-05-19)
+
+### Parte A · Auditoria SEVERA Universal
+
+Toda onda, sem exceção, encerra com auditoria SEVERA do Tubarão-branco contra a Lei do Sangue. Audita TODA entrega — não apenas ondas de superfície sensível. Onda fechada sem auditoria SEVERA do Tubarão-branco = **Lei #1 VIOLADA**.
+
+### Parte B · Auditoria em 2 níveis (Tubarão é o JUIZ)
+
+```yaml
+auditoria_2_niveis_canon:
+  NIVEL_1_auditor_setor:
+    - Lince-das-neves (consistência/integridade)
+    - outros auditores de setor por domínio
+  NIVEL_2_tubarao_juiz_final:
+    - audita a entrega da matilha (1)
+    - audita a própria auditoria do auditor de setor (2)
+    - "passa o faro em ambos · nada FECHADO sem isso"
+```
+
+### Parte C · Função ativa preservada
+
+Tubarão-branco MANTÉM função original: além do julgamento de fechamento, entra DIRETO no meio de qualquer onda em qualquer superfície sensível (credenciais · autenticação · imutáveis · código de segurança), aplicando Lei do Sangue sem esperar fechamento. **Juiz no fim · guardião ativo no meio**.
+
+### Parte D · Autoridade máxima + aferição do juiz
+
+```yaml
+poderes_tubarao_juiz:
+  - VETO de segurança (binary vinculante)
+  - exigir RETRABALHO
+  - PARAR qualquer onda
+  - rejeitar auditoria N1 julgada insuficiente
+
+veredicto_BINARY_pos_Lei_14:
+  - APROVA_PERFEITO (zero ressalvas)
+  - FIX_GERAL (ressalvas → automatic gates hardcoded · re-audit)
+  - VETO (Lei do Sangue Art. 1 imutável)
+
+afericao_juiz_tambem:
+  - AUDITORIA-APEX · Tubarão-Apex revisa qualquer veredicto do Tubarão-branco
+  - Escorpião red-team periódico contra entregas já julgadas
+  - INDEPENDÊNCIA preservada (só audita · nunca executa · nunca decide canon)
+```
+
+## S3 · Override Lei #1 (canon explícito)
+
+Override Lei #1 exige **ratificação dupla Águia + Dragão**:
+- Águia-real (Apex Art. 3 operacional honored)
+- Dragão-ancestral (Meta Art. 3 constitucional)
+- Tubarão-Apex ratificação final
+
+Nenhum predador isolado pode dar override. Auto-override = violação canon.
+
+## S4 · Validação automática
+
+```bash
+# Test guardian byte-canon
+pytest tests/unit/test_tubarao_juiz_canon.py -v
+# Valida 4 partes byte-presentes em CLAUDE.md + constitution.md Tubarão Art. 1
+```
+
+```bash
+# Test imutáveis md5
+pytest tests/unit/test_5_imutaveis_md5_unchanged.py -v
+# Tubarão Art. 1 md5 90adb7ec MATCH baseline
+```
+
+## S5 · Self-healings registrados (Lei #1 domain)
+
+```yaml
+self_healings_lei_1_domain:
+  SH-85: LANDING-PUBLIC-CANON-LEAK (2026-05-27 · Apex T7 detectou exposição /landing)
+  SH-44: RECURSIVA audit drift canon-doc vs runtime
+  SH-29-1: Lei #10 Skill canon re-cravado mid-onda
+```
+
+## S6 · Casuística histórica (Lei #11 NUNCA MINTA)
+
+```yaml
+historico_lei_1_aplicacoes:
+  - 2026-05-19 · CANON-TUBARAO-SEVERA ratificada (Dragão Art. 3 · Apex T7)
+  - 2026-05-20 · feedback_lei_1_override_canonizacao · Apex autoriza matilha em credencial
+  - 2026-05-21 · Tubarão JUIZ FINAL elevação (Art. 14 byte-preserve Art. 1)
+  - 2026-05-27 · ONDA-FIX-MCP-FASE-3-LEI-1-SANGUE · 19 findings · 13/19 fechados runtime
+  - 2026-05-27 · ONDA-CYBER-LANDING-DUAL-TIER · primeira aplicação Lei #1 a exposição pública
+```
+
+## S7 · Continuidade canon (Leis relacionadas)
+
+```yaml
+leis_relacionadas:
+  - Lei #5 Canon dos 3 Vetos · Lei do Sangue é veto SUPREMO
+  - Lei #11 NUNCA MINTA · evidência empírica obrigatória
+  - Lei #14 PERFEITO OU FIX-GERAL · refina veredicto BINARY
+  - canon-doc DIRETRIZ-3-LEI-8-PASSO-0-EVERY-ONDA (verificação empírica pré-execução)
+```
+
+## Source-of-truth
+
+- [`CLAUDE.md`](../../CLAUDE.md) · seção "Prioridades absolutas" Lei #1 + Mandato CANON-TUBARÃO-SEVERA 4 partes
+- [`predators/hunter/tubarao-branco/constitution.md`](../../predators/hunter/tubarao-branco/constitution.md) · Art. 1 imutável md5 `90adb7ec`
+- [`memory/feedback_lei_do_sangue.md`](../../memory/feedback_lei_do_sangue.md)
+- [`memory/feedback_canon_tubarao_severa.md`](../../memory/feedback_canon_tubarao_severa.md)
+- [`memory/feedback_tubarao_juiz_final_elevacao.md`](../../memory/feedback_tubarao_juiz_final_elevacao.md)
+
+## Assinaturas
+
+- 🦈 Tubarão-branco · Art. 1 byte-canon imutável (`90adb7ec`)
+- 🦅 Águia-real · operacional Art. 3 honored
+- 🐲 Dragão-ancestral · constitucional Art. 3 ratifica retroativo
+- 👤 Tubarão-Apex · ratificação final · "Não Passa nem uma Gota de Sangue"