evol-dd 0.1.0__tar.gz

evol_dd-0.1.0/.agent/hooks/hooks.json

@@ -0,0 +1,78 @@
+{
+  "version": "1.0",
+  "profiles": {
+    "minimal": [
+      {
+        "id": "post:edit:mempalace-index",
+        "event": "PostToolUse",
+        "enabled": true,
+        "script": "post-edit-mempalace-index.sh",
+        "trigger": "edit"
+      }
+    ],
+    "standard": [
+      {
+        "id": "pre:bash:dangerous-command",
+        "event": "PreToolUse",
+        "enabled": true,
+        "script": "pre-bash-dangerous-command.sh",
+        "trigger": "bash"
+      },
+      {
+        "id": "pre:write:doc-file-warning",
+        "event": "PreToolUse",
+        "enabled": true,
+        "script": "pre-write-doc-file-warning.sh",
+        "trigger": "write"
+      },
+      {
+        "id": "post:bash:pr-logger",
+        "event": "PostToolUse",
+        "enabled": true,
+        "script": "post-bash-pr-logger.sh",
+        "trigger": "bash"
+      },
+      {
+        "id": "post:write:auto-organize",
+        "event": "PostToolUse",
+        "enabled": true,
+        "script": "post-write-auto-organize.sh",
+        "trigger": "write"
+      },
+      {
+        "id": "session:start:context-load",
+        "event": "SessionStart",
+        "enabled": true,
+        "script": "session-start-context-load.sh"
+      },
+      {
+        "id": "stop:git-check",
+        "event": "Stop",
+        "enabled": true,
+        "script": "stop-git-check.sh"
+      }
+    ],
+    "strict": [
+      {
+        "id": "pre:edit:config-protection",
+        "event": "PreToolUse",
+        "enabled": true,
+        "script": "pre-edit-config-protection.sh",
+        "trigger": "edit"
+      },
+      {
+        "id": "pre:tool:temporal-awareness",
+        "event": "PreToolUse",
+        "enabled": true,
+        "script": "pre-tool-temporal-awareness.sh"
+      },
+      {
+        "id": "stop:pattern-extraction",
+        "event": "Stop",
+        "enabled": true,
+        "script": "stop-pattern-extraction.sh"
+      }
+    ]
+  },
+  "default_profile": "standard"
+}

evol_dd-0.1.0/.agent/hooks/scripts/post-bash-pr-logger.sh

@@ -0,0 +1,9 @@
+#!/usr/bin/env bash
+# PostToolUse hook: Log PR URL after gh pr create
+
+OUTPUT="$1"
+if echo "$OUTPUT" | grep -q "github.com.*pull/"; then
+    URL=$(echo "$OUTPUT" | grep -oE "https://github.com/[^ ]+/pull/[0-9]+" | head -1)
+    echo "[HOOK] PR Created: $URL"
+fi
+exit 0

evol_dd-0.1.0/.agent/hooks/scripts/post-edit-mempalace-index.sh

@@ -0,0 +1,7 @@
+#!/usr/bin/env bash
+# PostToolUse hook: Re-index MemPalace (async)
+
+if command -v mempalace >/dev/null 2>&1; then
+    (mempalace index --wing evol-dd --path . 2>/dev/null || true) &
+fi
+exit 0

evol_dd-0.1.0/.agent/hooks/scripts/post-write-auto-organize.sh

@@ -0,0 +1,13 @@
+#!/usr/bin/env bash
+# PostToolUse hook: Move docs to canonical paths
+
+DEST="$1"
+if [ -f "$DEST" ]; then
+    case "$DEST" in
+        *architecture*.md) [ ! -d "docs/arquitectura" ] && mkdir -p "docs/arquitectura" ;;
+        *requisitos*.md) [ ! -d "docs/requisitos" ] && mkdir -p "docs/requisitos" ;;
+        *qa*.md|*test*.md) [ ! -d "docs/qa" ] && mkdir -p "docs/qa" ;;
+        *seguridad*.md|*security*.md) [ ! -d "docs/seguridad" ] && mkdir -p "docs/seguridad" ;;
+    esac
+fi
+exit 0

evol_dd-0.1.0/.agent/hooks/scripts/pre-bash-dangerous-command.sh

@@ -0,0 +1,105 @@
+#!/usr/bin/env bash
+# PreToolUse hook: Block dangerous commands
+# Exit 0 = allow, Exit 2 = block
+
+set -euo pipefail
+
+INPUT=$(cat)
+COMMAND="$INPUT"
+
+# Try parse JSON if available (Claude Code passes structured input)
+if echo "$INPUT" | grep -q '^{'; then
+    COMMAND=$(echo "$INPUT" | python3 -c "import sys,json; d=json.load(sys.stdin); print(d.get('command','') or d.get('prompt','') or '')" 2>/dev/null || echo "$INPUT")
+fi
+
+# Logging without secrets
+log_blocked() {
+    local reason="$1"
+    local hook_log="${HOOK_LOG:-.agent/hooks/.hook-blocked.log}"
+    echo "[$(date -u +%Y-%m-%dT%H:%M:%SZ)] BLOCKED: $reason" >> "$hook_log" 2>/dev/null || true
+}
+
+BLOCKED=0
+
+# Block: rm -rf on root
+if echo "$COMMAND" | grep -qE 'rm[[:space:]]+-rf[[:space:]]+/?$'; then
+    echo "[evol-hook] BLOQUEADO: rm -rf /" >&2
+    log_blocked "rm -rf /"
+    BLOCKED=1
+fi
+
+# Block: rm -rf on home directory
+if echo "$COMMAND" | grep -qE 'rm[[:space:]]+-rf[[:space:]]+~'; then
+    echo "[evol-hook] BLOQUEADO: rm -rf ~" >&2
+    log_blocked "rm -rf ~"
+    BLOCKED=1
+fi
+
+# Block: rm -rf on protected system directories
+if echo "$COMMAND" | grep -qE 'rm[[:space:]]+-rf[[:space:]]+(--[[:space:]]+)?/(etc|usr|bin|sbin|lib|boot|root|var|opt|dev|sys)'; then
+    echo "[evol-hook] BLOQUEADO: rm -rf sobre directorio de sistema" >&2
+    log_blocked "rm -rf /etc|/usr|/bin|..."
+    BLOCKED=1
+fi
+
+# Block: dd if= (disk dump)
+if echo "$COMMAND" | grep -qE 'dd[[:space:]]+if='; then
+    echo "[evol-hook] BLOQUEADO: dd if= (operacion de disco cruda)" >&2
+    log_blocked "dd if="
+    BLOCKED=1
+fi
+
+# Block: mkfs (filesystem creation)
+if echo "$COMMAND" | grep -qE 'mkfs'; then
+    echo "[evol-hook] BLOQUEADO: mkfs (creacion de filesystem)" >&2
+    log_blocked "mkfs"
+    BLOCKED=1
+fi
+
+# Block: chmod -R 777
+if echo "$COMMAND" | grep -qE 'chmod[[:space:]]+(-R[[:space:]]+|-R )?777'; then
+    echo "[evol-hook] BLOQUEADO: chmod 777 o chmod -R 777" >&2
+    log_blocked "chmod 777"
+    BLOCKED=1
+fi
+
+# Block: curl | sh / wget | sh
+if echo "$COMMAND" | grep -qE '(curl|wget)[[:space:]].*[|][[:space:]]*(ba)?sh'; then
+    echo "[evol-hook] BLOQUEADO: curl/wget pipe a shell" >&2
+    log_blocked "curl|wget | sh"
+    BLOCKED=1
+fi
+
+# Block: bash <(curl ...)
+if echo "$COMMAND" | grep -qE 'bash[[:space:]]*<[[:space:]]*\((curl|wget)'; then
+    echo "[evol-hook] BLOQUEADO: process substitution con curl/wget" >&2
+    log_blocked "bash <(curl...)"
+    BLOCKED=1
+fi
+
+# Block: sudo without authorized context
+if echo "$COMMAND" | grep -qE '^sudo[[:space:]]' && [ -z "${EVOL_SUDO_AUTHORIZED:-}" ]; then
+    echo "[evol-hook] BLOQUEADO: sudo sin autorizacion explicita (EVOL_SUDO_AUTHORIZED no esta definido)" >&2
+    log_blocked "sudo without EVOL_SUDO_AUTHORIZED"
+    BLOCKED=1
+fi
+
+# Block: git push --force / --force-with-lease to protected branches
+PROTECTED_BRANCHES="main|master|develop"
+if echo "$COMMAND" | grep -qE "git[[:space:]]+push[[:space:]].*(--force-with-lease|--force-with-lease=.*)[[:space:]].*($PROTECTED_BRANCHES)"; then
+    echo "[evol-hook] BLOQUEADO: git push --force-with-lease a rama protegida" >&2
+    log_blocked "git push --force-with-lease"
+    BLOCKED=1
+fi
+
+if echo "$COMMAND" | grep -qE "git[[:space:]]+push[[:space:]].*(-f|--force)[[:space:]].*($PROTECTED_BRANCHES)"; then
+    echo "[evol-hook] BLOQUEADO: git push --force a rama protegida" >&2
+    log_blocked "git push --force"
+    BLOCKED=1
+fi
+
+if [ "$BLOCKED" -eq 1 ]; then
+    exit 2
+fi
+
+exit 0

evol_dd-0.1.0/.agent/hooks/scripts/pre-commit-gitflow.sh

@@ -0,0 +1,25 @@
+#!/usr/bin/env bash
+# Pre-commit hook: Enforce GitFlow branch naming
+
+BRANCH=$(git symbolic-ref --short HEAD 2>/dev/null || echo "")
+
+if [ "$BRANCH" = "main" ] || [ "$BRANCH" = "develop" ]; then
+    exit 0
+fi
+
+ALLOWED='^(feature/|fix/|hotfix/|release/|chore/|docs/|refactor/)'
+if ! [[ "$BRANCH" =~ $ALLOWED ]]; then
+    echo "[HOOK] BLOCKED: Branch '$BRANCH' does not follow GitFlow convention"
+    echo "[HOOK] Allowed: feature/*, fix/*, hotfix/*, release/*, chore/*, docs/*, refactor/*"
+    exit 1
+fi
+
+# Check conventional commits
+if [ -f ".git/COMMIT_EDITMSG" ]; then
+    MSG=$(head -1 .git/COMMIT_EDITMSG)
+    if ! [[ "$MSG" =~ ^(feat|fix|docs|style|refactor|test|chore|perf|ci|build|revert) ]]; then
+        echo "[HOOK] WARN: Commit message should follow Conventional Commits"
+    fi
+fi
+
+exit 0

evol_dd-0.1.0/.agent/hooks/scripts/pre-edit-config-protection.sh

@@ -0,0 +1,53 @@
+#!/usr/bin/env bash
+# PreToolUse hook: Block governance file edits without evol-gate approval
+# Exit 0 = allow, Exit 2 = block
+
+set -euo pipefail
+
+HOOK_LOG="${HOOK_LOG:-.agent/hooks/.hook-blocked.log}"
+GATE_LOG=".evol/.gate-log.jsonl"
+
+log_blocked() {
+    local reason="$1"
+    echo "[$(date -u +%Y-%m-%dT%H:%M:%SZ)] BLOCKED: $reason" >> "$HOOK_LOG" 2>/dev/null || true
+}
+
+PROTECTED_FILES="constitucion.md gates.md hooks.json .gate-key .gate-log.jsonl"
+PROTECTED_PATTERNS="constitucion.md gates.md hooks.json"
+
+# Check if evol-gate approve was run recently (within 1 hour)
+check_gate_approval() {
+    if [ ! -f "$GATE_LOG" ]; then
+        return 1
+    fi
+    local last_approve
+    last_approve=$(grep -c '"phase"' "$GATE_LOG" 2>/dev/null || echo "0")
+    if [ "$last_approve" -gt 0 ]; then
+        return 0
+    fi
+    return 1
+}
+
+GATE_APPROVED=0
+if check_gate_approval; then
+    GATE_APPROVED=1
+fi
+
+BLOCKED=0
+for pattern in $PROTECTED_PATTERNS; do
+    if [[ "$1" == *"$pattern"* ]]; then
+        if [ "$GATE_APPROVED" -eq 1 ]; then
+            echo "[evol-hook] WARN: editing governance file: $pattern (gate approved)" >&2
+        else
+            echo "[evol-hook] BLOQUEADO: edicion de archivo de gobernanza '$pattern' requiere evol-gate approve" >&2
+            log_blocked "governance-edit:$pattern without gate"
+            BLOCKED=1
+        fi
+    fi
+done
+
+if [ "$BLOCKED" -eq 1 ]; then
+    exit 2
+fi
+
+exit 0

evol_dd-0.1.0/.agent/hooks/scripts/pre-tool-temporal-awareness.sh

@@ -0,0 +1,8 @@
+#!/usr/bin/env bash
+# PreToolUse hook: Inject sprint context
+
+SPRINT_FILE=".sprint-active"
+if [ -f "$SPRINT_FILE" ]; then
+    echo "[HOOK] Active Sprint: $(cat "$SPRINT_FILE")"
+fi
+exit 0

evol_dd-0.1.0/.agent/hooks/scripts/pre-write-doc-file-warning.sh

@@ -0,0 +1,19 @@
+#!/usr/bin/env bash
+# PreToolUse hook: Warn if doc file outside canonical paths
+
+DEST="$1"
+CANONICAL_DOCS="docs/ .claude/ .opencode/ AGENTS.md CLAUDE.md memoria.md"
+
+if [[ "$DEST" =~ \.md$ ]]; then
+    IN_CANONICAL=false
+    for path in $CANONICAL_DOCS; do
+        if [[ "$DEST" == "$path"* ]]; then
+            IN_CANONICAL=true
+            break
+        fi
+    done
+    if [ "$IN_CANONICAL" = false ]; then
+        echo "[HOOK] WARN: Writing .md outside canonical paths: $DEST"
+    fi
+fi
+exit 0

evol_dd-0.1.0/.agent/hooks/scripts/session-start-context-load.sh

@@ -0,0 +1,17 @@
+#!/usr/bin/env bash
+# SessionStart hook: Load memoria.md and WORKING-CONTEXT
+
+echo "=== Working Context ==="
+
+if [ -f "memoria.md" ]; then
+    echo "--- memoria.md ---"
+    head -30 memoria.md
+fi
+
+if [ -f "WORKING-CONTEXT.md" ]; then
+    echo "--- WORKING-CONTEXT.md ---"
+    cat WORKING-CONTEXT.md
+fi
+
+echo "==================="
+exit 0

evol_dd-0.1.0/.agent/hooks/scripts/session-start-reme-load.sh

@@ -0,0 +1,20 @@
+#!/bin/bash
+# Hook: session:start:reme-load — carga MEMORY.md + journal anterior via evol-memory.py nativo.
+# Perfil: minimal+. Requiere EVOL_MEMORY=1. Sin dependencias externas.
+# No-op si EVOL_MEMORY != 1. Exit 0 siempre.
+set -eu
+
+if [ "${EVOL_MEMORY:-0}" != "1" ]; then
+  exit 0
+fi
+
+SCRIPTS_DIR="$( cd -- "$( dirname -- "${BASH_SOURCE[0]}" )/../../.." && pwd )/scripts"
+PROJECT_DIR="${PWD}"
+
+if [ ! -f "$SCRIPTS_DIR/evol-memory.py" ]; then
+  echo "[evol-memory] WARN: evol-memory.py no encontrado en $SCRIPTS_DIR" >&2
+  exit 0
+fi
+
+python3 "$SCRIPTS_DIR/evol-memory.py" --project "$PROJECT_DIR" load
+exit 0

evol_dd-0.1.0/.agent/hooks/scripts/stop-git-check.sh

@@ -0,0 +1,11 @@
+#!/usr/bin/env bash
+# Stop hook: Warn if uncommitted changes
+
+if [ -d ".git" ]; then
+    UNCOMMITTED=$(git status --porcelain 2>/dev/null | wc -l)
+    if [ "$UNCOMMITTED" -gt 0 ]; then
+        echo "[HOOK] WARN: $UNCOMMITTED uncommitted changes"
+        echo "[HOOK] Run: git add . && git commit -m '...'"
+    fi
+fi
+exit 0

evol_dd-0.1.0/.agent/hooks/scripts/stop-pattern-extraction.sh

@@ -0,0 +1,13 @@
+#!/usr/bin/env bash
+# Stop hook: Extract patterns for instincts
+
+if command -v python3 >/dev/null 2>&1; then
+    if [ -f "scripts/evol-state.py" ]; then
+        python3 scripts/evol-state.py record-instinct \
+            --pattern "session_pattern" \
+            --context "auto-extracted" \
+            --confidence 0.3 \
+            --source "stop-hook" 2>/dev/null || true
+    fi
+fi
+exit 0

evol_dd-0.1.0/.agent/hooks/scripts/stop-reme-summary.sh

@@ -0,0 +1,36 @@
+#!/bin/bash
+# Hook: stop:reme-summary — persiste sesion en memory/YYYY-MM-DD.md via evol-memory.py nativo.
+# Perfil: minimal+. Requiere EVOL_MEMORY=1. Sin dependencias externas.
+# No-op si EVOL_MEMORY != 1. Exit 0 siempre (no bloquea cierre de sesion).
+set -eu
+
+if [ "${EVOL_MEMORY:-0}" != "1" ]; then
+  exit 0
+fi
+
+SCRIPTS_DIR="$( cd -- "$( dirname -- "${BASH_SOURCE[0]}" )/../../.." && pwd )/scripts"
+PROJECT_DIR="${PWD}"
+
+if [ ! -f "$SCRIPTS_DIR/evol-memory.py" ]; then
+  echo "[evol-memory] WARN: evol-memory.py no encontrado" >&2
+  exit 0
+fi
+
+# El evento Stop puede proveer JSON de mensajes via stdin — guardarlo en tmp
+TMPFILE=$(mktemp /tmp/evol-memory-XXXXXX.jsonl 2>/dev/null || echo "")
+if [ -n "$TMPFILE" ]; then
+  cat > "$TMPFILE" 2>/dev/null || true
+  if [ -s "$TMPFILE" ]; then
+    python3 "$SCRIPTS_DIR/evol-memory.py" --project "$PROJECT_DIR" summarize --messages "$TMPFILE" &
+  else
+    python3 "$SCRIPTS_DIR/evol-memory.py" --project "$PROJECT_DIR" summarize &
+  fi
+  rm -f "$TMPFILE"
+else
+  python3 "$SCRIPTS_DIR/evol-memory.py" --project "$PROJECT_DIR" summarize &
+fi
+
+# gc de tool_result/ vencidos (async, en background)
+python3 "$SCRIPTS_DIR/evol-memory.py" --project "$PROJECT_DIR" gc &
+
+exit 0

evol_dd-0.1.0/.agent/workflows/a11y-audit.md

@@ -0,0 +1,56 @@
+---
+description: Auditoría de accesibilidad WCAG 2.1 AA. Automatizada en CI + revisión humana de flujos críticos.
+name: a11y-audit
+trigger: /evol a11y-audit
+---
+# /a11y-audit
+
+> **Estandar de documentacion:** Todo artefacto que produzca este workflow cumple
+> [`docs/DOC_STANDARD.md`](../../docs/DOC_STANDARD.md): sin emojis, diagramas Mermaid
+> obligatorios, tablas para datos estructurados, Gherkin donde aplique, secciones
+> minimas y trazabilidad bidireccional.
+**ID:** FLUJO-A11Y | **Versión:** 1.0 | **Agente:** Frontend-Developer + Accessibility-Auditor
+**Misión:** Producto usable para personas con discapacidad. WCAG 2.1 AA mínimo, AAA donde sea razonable.
+
+## 0. Pre-flight
+- Solo aplica si el producto tiene UI (web, mobile, desktop).
+
+## 1. Cobertura automática (CI)
+<!-- CONFIGURAR: Herramientas.                                                 -->
+<!--  - Web: axe-core (Playwright/Cypress), Pa11y, Lighthouse a11y              -->
+<!--  - Mobile: Accessibility Scanner (Android), Accessibility Inspector (iOS)  -->
+<!--  - Design system: Storybook + axe addon                                    -->
+
+Tests automatizados verifican:
+- Contraste de color (4.5:1 texto normal, 3:1 large)
+- Roles ARIA correctos, no abusivos
+- Labels en todos los form controls
+- Foco visible y orden lógico
+- Alternativas de texto en imágenes
+
+## 2. Cobertura manual (no automatizable)
+Revisión humana de flujos críticos (signup, checkout, settings):
+- **Teclado**: navegación 100% con teclado, sin trampas de foco
+- **Lector de pantalla**: VoiceOver (macOS/iOS) + NVDA (Windows) + TalkBack (Android)
+- **Zoom 200%** sin pérdida de contenido ni scroll horizontal
+- **Reduce motion**: respetar `prefers-reduced-motion`
+- **Color**: información no solo por color (probar con simulador daltonismo)
+
+## 3. Componentes
+- Design system con componentes accesibles por construcción.
+- Cada componente nuevo trae tests a11y antes de merge.
+- Documentación de patrones (modales, menús, formularios) sigue ARIA Authoring Practices Guide.
+
+## 4. Contenido
+- Estructura semántica (h1-h6 correctos, landmarks).
+- Idioma declarado (`<html lang>`) — cruzar con `/i18n-setup`.
+- Vídeos con subtítulos, transcripciones de audio.
+
+## 5. CI gate
+- PR bloquea si violación nivel `serious` o `critical`.
+- Violaciones `moderate` permitidas con justificación temporal y issue trackeado.
+
+## 6. Cierre
+- Reporte a `qa-review` Tier 2.
+- Hallazgos críticos a `lecciones.md`.
+- Roadmap de mejoras a11y mantenido (no "lo arreglamos cuando podamos").

evol_dd-0.1.0/.agent/workflows/adr-new.md

@@ -0,0 +1,52 @@
+---
+description: Crea un Architecture Decision Record numerado en docs/adr/. Formato Nygard.
+name: adr-new
+trigger: /evol adr-new
+---
+# /adr-new
+
+> **Estandar de documentacion:** Todo artefacto que produzca este workflow cumple
+> [`docs/DOC_STANDARD.md`](../../docs/DOC_STANDARD.md): sin emojis, diagramas Mermaid
+> obligatorios, tablas para datos estructurados, Gherkin donde aplique, secciones
+> minimas y trazabilidad bidireccional.
+**ID:** FLUJO-ADR | **Versión:** 1.0 | **Agente:** Software-Architect
+**Misión:** Toda decisión arquitectónica significativa queda capturada con su contexto, alternativas y consecuencias.
+
+## 0. Pre-flight
+- Crea `docs/adr/` si no existe.
+- Calcula el próximo número (`NNNN` = max existente + 1, 4 dígitos).
+
+## 1. Cuándo usar
+Crear ADR cuando:
+- La decisión es difícil de revertir (elección de stack, lenguaje, BD principal).
+- Afecta múltiples componentes o equipos.
+- Resuelve un trade-off no obvio.
+- Reemplaza una decisión previa.
+
+NO crear ADR para:
+- Decisiones tácticas reversibles (nombre de variable, lib de fechas).
+- Implementación específica sin alternativas razonables.
+
+## 2. Generación
+Copia `templates/adr.template.md` a `docs/adr/NNNN-<slug-kebab-case>.md` y guía al usuario en rellenar:
+- Contexto (¿qué problema, qué restricciones?)
+- Decisión (imperativa, 1-3 frases)
+- Alternativas consideradas (con pro/contra/por qué descartadas)
+- Consecuencias (positivas, negativas, neutras)
+- Plan de revisión (cuándo y bajo qué señales revisitar)
+
+## 3. Estados
+- `Propuesto` — en discusión.
+- `Aceptado` — vigente.
+- `Reemplazado por ADR-XXXX` — superseded (mantener original, no borrar).
+- `Deprecado` — ya no aplica pero se conserva por trazabilidad.
+
+## 4. Vinculación
+- Si reemplaza ADR previo: actualizar el ADR antiguo a "Reemplazado por ADR-NNNN".
+- Si está relacionado con DOMAIN.md, SPEC.md, THREATS.md: enlazar.
+- Indexar en `docs/adr/README.md` (índice cronológico).
+
+## 5. Cierre
+- Commit con prefijo `docs(adr): NNNN <título>`.
+- MemPalace indexa.
+- Notificar a equipo si decisión impacta a otros componentes.

evol_dd-0.1.0/.agent/workflows/advanced-agentic-pentesting.md

@@ -0,0 +1,60 @@
+---
+name: advanced-agentic-pentesting
+description: Workflow advanced-agentic-pentesting
+trigger: /evol advanced-agentic-pentesting
+---
+
+description: Workflow X-DD
+
+# /advanced-agentic-pentesting
+
+> **Estandar de documentacion:** Todo artefacto que produzca este workflow cumple
+> [`docs/DOC_STANDARD.md`](../../docs/DOC_STANDARD.md): sin emojis, diagramas Mermaid
+> obligatorios, tablas para datos estructurados, Gherkin donde aplique, secciones
+> minimas y trazabilidad bidireccional.
+**ID:** FLUJO-062 | **Versión:** 2.3.0 | **Nivel:** Operativo
+**Módulo Core:** `skill-agentic-sast-reasoning`, `skill-autonomous-exploitation`
+
+
+## 0. PRE-FLIGHT: MEMORY SEAL (START)
+- Registro obligatorio en `memoria.md` (Art. 4 Constitución).
+## 1. MISIÓN DEL FLUJO
+Ejecutar un ciclo de auditoría de seguridad de alta fidelidad basado en el motor de razonamiento de Shannon, combinando el análisis estático de rutas (SAST) con la explotación dinámica autónoma (DAST) para garantizar que los hallazgos son vulnerabilidades reales y explotables (Zero False Positives).
+
+## 2. DIRECTRICES INQUEBRANTABLES
+- **Contextual Reasoning:** No se permite el uso de scanners basados únicamente en firmas o regex. Cada ruta de datos debe ser razonada por un LLM.
+- **POC Mandatory:** Solo se reportan vulnerabilidades que tengan una Prueba de Concepto (POC) generada y validada mediante ejecución activa.
+- **Aislamiento de Entorno:** Toda explotación debe realizarse en entornos controlados (Staging/Isolate) para evitar daños colaterales.
+- **Reachability First:** Antes de alertar sobre una librería vulnerable, se debe verificar si la función vulnerable es realmente alcanzable desde el código de la aplicación.
+
+## 3. DOMINIOS DE CONTROL X-DD
+- **Comandante de Seguridad**: Orquesta las fases de Recon y Ataque.
+- **Red Teamer**: Diseña las hipótesis de explotación basadas en el análisis de código.
+
+## 4. FLUJO OPERATIVO DETALLADO
+1. **Phase 1: Pre-Recon (Code-Centric)**: Mapeo de superficies de ataque analizando el código fuente. Identificación de Sinks (SQL, Exec, HTML) y Sources (Input, API).
+2. **Phase 2: Recon (Runtime-Centric)**: Verificación de la existencia de endpoints y formularios mediante Playwright.
+3. **Phase 3: Agentic SAST (Path Tracing)**: Trazado inverso desde el Sink al Source validando cada paso de sanitización con LLM.
+4. **Phase 4: Autonomous DAST (Exploitation)**: Ejecución de agentes paralelos de Inyección, XSS, SSRF y Auth para validar hipótesis.
+5. **Phase 5: Executive Reporting**: Consolidación de evidencias, capturas de pantalla de la explotación y pasos de remediación.
+
+## 5. OBSERVABILIDAD (NDJSON)
+```json
+{
+  "timestamp": "ISO-8601",
+  "event": "vulnerability_exploited",
+  "data": {
+    "cwe": "CWE-89",
+    "severity": "CRITICAL",
+    "poc_path": "/deliverables/poc_sqli.txt",
+    "confidence": 1.0
+  }
+}
+```
+
+---
+Desarrollado por el Centro de Ciberseguridad Avanzada · %X-DD% V1.1.0
+
+
+## POST-FLIGHT: MEMORY SEAL (END)
+- Cierre de sesión y persistencia final en `memoria.md`.

evol_dd-0.1.0/.agent/workflows/agent-factory.md

@@ -0,0 +1,41 @@
+---
+name: /evol agent create
+description: Creates ephemeral agents via guided interaction
+trigger: /evol agent create
+category: core
+---
+
+# Evol-Agent-Factory
+
+## Mission
+Create ephemeral agents for specialized tasks.
+
+## Lifecycle
+CREATE -> INVOKE -> RETIRE -> [RECALL]
+
+## Commands
+```bash
+# Create
+python3 scripts/evol-agent-lifecycle.py create \
+  --name "specialist-name" \
+  --task "Task description" \
+  --expires-after 30
+
+# Invoke
+python3 scripts/evol-agent-lifecycle.py invoke specialist-name
+
+# Retire
+python3 scripts/evol-agent-lifecycle.py retire specialist-name
+
+# Recall
+python3 scripts/evol-agent-lifecycle.py recall specialist-name
+```
+
+## When Invoked
+- `/evol agent create <name> --task <desc>`
+- Ephemeral agent needed
+
+## Constraints
+- Cannot modify governance files
+- Cannot create other agents
+- Must register decisions in memoria.md