Backlog Unificado
Projeto: Cerebro. Fonte principal: /root/cerebro/docs/BACKLOG.md.
- BK-36 · MCP Bridge: Integração com o Model Context Protocol com catálogo de permissões por ferramenta. (detalhe pendente)
- BK-38 · Gate B — Núcleo útil da inspiração: executar BK-38 em fase segura (heartbeat 30 min read-only + alerta + sugestão; sem execução automática R2+).
- BK-40 · Builder Engine (Specs): Implementar orquestração baseada em arquivos de especificação (TDD/PRD automáticos). (detalhe pendente)
- BK-41 · Evals e Benchmark: Sistema para medir a qualidade das respostas e evitar regressões de inteligência. (detalhe pendente)
- BK-42 · Gate C — Pipeline oficial do Cerebro: concluir BK-42 + BK-55 (peer review gate) + BK-41 (evals). (detalhe pendente)
- BK-48 · Auto-Tuning: Agente que analisa logs de performance e sugere melhorias na configuração do Kernel. (detalhe pendente)
- BK-50 · Versionamento de Memória: Snapshotting do MEMORY.md para evitar corrupção de contexto a longo prazo. (detalhe pendente)
- BK-52 · WhatsApp SaaS (Extração do RNT): Transformar o microserviço/fluxo de WhatsApp do Rio no Teatro (helper PHP + fila + healthcheck + restart + telemetria) em componente reutilizável/multitenant para outros projetos da VPS e futura integração no Cerebro (canal alternativo ao Discord para alertas/testes). Inspirado em Mission Control HQ. (detalhe pendente)
- BK-55 · Peer Review Gate entre Agents: Adicionar etapa obrigatória de revisão cruzada antes de Done, com evidência em log/DB e bloqueio em caso de conflito crítico. (detalhe pendente)
- BK-61 · Terminal Multi-Sessão (Fase 1 e 2): Implementar gerenciador de sessões paralelas por engine. (detalhe pendente)
- BK-62 · [PASSO-01 | Usuário/Admin] Fechar BK-62 (P0 de segurança): revogar tokens legados no Discord Developer Portal, atualizar CEREBRO_DISCORD_TOKEN na VPS e validar bot/kernel após restart. (detalhe pendente)
- BK-66 · Flag explícita planejar vs executar: (detalhe pendente)
- BK-128 · Copywriter multi-formato + Revisor comercial RNT (FOLLOW-UP RECONCILIADO em 2026-03-18): O RNT ja possui base parcial entregue no historico local BK-122, com copy contextual para story/reels, selecao manual e fallback operacional. O que ainda falta neste backlog central e expandir para feed/carrossel, scorecard comercial consistente e integracao completa com o fluxo WhatsApp -> agenda -> conferencia de rascunho. Detalhe: docs/specs/BK-128-rnt-copy-multiformato-review.md.
- BK-133 · Planejamento Antecipado (Greedy Planner): Ajustar o robô para gerar conteúdos de fim de temporada (Last Week/Last Session) no momento do cadastro da peça, permitindo aprovação e agendamento prévio. (detalhe pendente)
- BK-134 · Messenger Channel Integration: Automatizar postagem no canal do Messenger (rionoteatro) após inclusão de nova peça, com fluxo de aprovação via WhatsApp. (detalhe pendente)
- BK-135 · FB Events Auto-Creation: Integrar a criação de eventos do Facebook ao fluxo de "Peça Nova", parando no rascunho para conferência humana. (detalhe pendente)
- BK-136 · Meta Weekly Challenges Bot: Criar rotina para monitorar e sugerir postagens criativas (Reels/Posts) para cumprir os desafios de nível da Meta. (detalhe pendente)
- BK-153 · Refatoracao fase 1 de sync_facebook_events.php: Separar planner, dispatcher, montagem de aprovacao e fallback browser em modulos/testes controlados, sem reescrever tudo de uma vez. (detalhe pendente)
- BK-154 · Harmonizacao backlog central x backlog RNT x roadmap Squad: Consolidar a semantica indice central -> backlog local de execucao -> roadmap estrategico, sem texto divergente entre os tres. (detalhe pendente)
- BK-155 · Piloto de migracao de cron social para Node: Escolher um cron social menor para piloto controlado e validar contrato/rollback antes de considerar a frente grande de migracao do legado social. (detalhe pendente)
Especificações Disponíveis (fora da fila pendente)
- BK-45
- BK-47
- BK-56
- BK-57
- BK-58
- BK-64
- BK-69
- BK-124
- BK-125
- BK-126
- BK-127
- BK-129
- BK-142
- BK-143
- BK-144
- BK-145
- BK-146
- BK-152
- BK-156
- BK-157
- BK-158
- BK-170
- BK-190
- BK-191
- BK-192
- BK-193
- BK-194
- BK-195
- BK-198
- BK-199
- BK-200
Detalhe do BK Selecionado
BK-156: Triagem Organizacional dos 23 Achados do Auditor do RNT
Data: 2026-03-19
Status: TRIAGEM CONCLUÍDA — aguardando BK de execução para ações destrutivas
Escopo: /www/wwwroot/rionoteatro.com.br/
BK Pai: BK-145 (auditor diário read-only)
Regra: NÃO apagar, NÃO mover, NÃO desversionar nesta rodada. Apenas classificar e documentar.
Resumo Executivo
O auditor (scripts/auditor_rnt.js) encontrou 23 achados em 5 categorias. A triagem classificou cada item, identificou redundâncias e cruzou com o histórico real do repositório.
Resultado da triagem:
| # | Caminho (repo-relativo ao RNT) | Categoria | Tracked | Risco | Classificação | Destino Sugerido | Ação na Próxima Rodada |
|---|---|---|---|---|---|---|---|
| 1 | CREDENCIAIS_EXPOSTAS_RELATORIO.md | segurança/raiz | ⚠️ verificado | 🔴 ALTO | segredo | docs/seguranca/ (com valores ofuscados) | Extrair conteúdo útil (checklist de arquivos), ofuscar valores, mover;丢弃 arquivo atual |
| 2 | .env | segurança/raiz | ✅ tracked | 🔴 ALTO | segredo | /etc/cerebro/rionoteatro.env (fora do repo) | Verificar .gitignore, criar BK próprio de migração de config, não mover sem plano |
| 3 | algolia_payload.json | segurança/raiz | ✅ tracked | 🟡 MÉDIO | migrar | config/algolia_payload.json | Mover para config/ — não contém secrets, apenas estrutura de payload |
| 4 | BK-102-admin-login.md | doc fora padrão | ✅ tracked | 🟢 BAIXO | migrar | docs/backlog/BK-102-admin-login.md | Mover para docs/backlog/ — conteúdo: correção do login admin |
| 5 | BK-103-profile-password-form.md | doc fora padrão | ✅ tracked | 🟢 BAIXO | migrar | docs/backlog/BK-103-profile-password-form.md | Mover para docs/backlog/ — conteúdo: correção do formulário de senha |
| 6 | BK-104-profile-password-column.md | doc fora padrão | ✅ tracked | 🟢 BAIXO | migrar | docs/backlog/BK-104-profile-password-column.md | Mover para docs/backlog/ — conteúdo: correção SQL da coluna de senha |
| 7 | BK-105-fix-open-basedir-formularios-compra.md | doc fora padrão | ✅ tracked | 🟢 BAIXO | migrar | docs/backlog/BK-105-fix-open-basedir-formularios-compra.md | Mover para docs/backlog/ — conteúdo: correção open_basedir + monitor de formulários |
| 8 | BK-106-fix-event-photo-upload.md | doc fora padrão | ✅ tracked | 🟢 BAIXO | migrar | docs/backlog/BK-106-fix-event-photo-upload.md | Mover para docs/backlog/ — conteúdo: upload de foto de evento |
| 9 | BK-107-bootstrap-refactor-audit.md | doc fora padrão | ✅ tracked | 🟢 BAIXO | manter | BK-107-bootstrap-refactor-audit.md (raiz) | Status: incompleto (checklist com items não feitos). Avaliar se ainda é relevante antes de mover; manter onde está até decisão |
| 10 | docs/BK-133-RELATORIO-RESGATE-ARCHIVE-20260209.md | doc fora padrão | ✅ tracked | 🟢 BAIXO | migrar | docs/backlog/BK-133-relatorio-resgate-archive-20260209.md | Mover para docs/backlog/ com rename — conteúdo: auditoria de snapshot, relatório completo |
| 11 | docs/BK-90-RELATORIO-TESTES-INTEGRACAO.md | doc fora padrão | ✅ tracked | 🟢 BAIXO | migrar | docs/backlog/BK-90-relatorio-testes-integracao.md | Mover para docs/backlog/ com rename — conteúdo: smoke-test 15/15 OK |
| 12 | docs/BK-94-RELATORIO-VALIDACAO-WHATSAPP.md | doc fora padrão | ✅ tracked | 🟢 BAIXO | migrar | docs/backlog/BK-94-relatorio-validacao-whatsapp.md | Mover para docs/backlog/ com rename — conteúdo: validação E2E WhatsApp |
| 13 | admin/passcon.php | debug/legado | ✅ tracked | 🟡 MÉDIO | quarentenar | admin/archive/passcon.php | Verificar se realmente órfão; mover para archive/ com rename; validar que não quebra nada |
| 14 | admin/run_sql_local.php | debug/legado | ✅ tracked | 🔴 ALTO | quarentenar | admin/archive/run_sql_local.php | Move para archive/ com rename; NUNCA executar em produção sem validação completa |
| 15 | admin/search_result.php | debug/legado | ✅ tracked | 🟡 MÉDIO | remover depois | — | Template estático FlatLab, não integrado; mover para archive/ se quiser preservar; ou deletar se confirmado órfão |
| 16 | admin/test_cwd.php | debug/legado | ✅ tracked | 🟡 MÉDIO | remover depois | — | Script diagnóstico, usa @is_file; mover para archive/ se quiser preservar; ou deletar |
| 17 | admin/test_db_constants.php | debug/legado | ✅ tracked | 🟡 MÉDIO | remover depois | — | Usa mysql_* deprecated + require data/config.php; mover para archive/; ou deletar |
| 18 | admin/test_includes_step.php | debug/legado | ✅ tracked | 🟡 MÉDIO | remover depois | — | Script diagnóstico com chdir e includes; mover para archive/; ou deletar |
| 19 | admin/test_setup_debug.php | debug/legado | ✅ tracked | 🟡 MÉDIO | remover depois | — | Script diagnóstico com chdir; mover para archive/; ou deletar |
| 20 | admin/test_setup_isolated.php | debug/legado | ✅ tracked | 🟡 MÉDIO | remover depois | — | Script diagnóstico com chdir e require; mover para archive/; ou deletar |
| 21 | api/admin/get_events_status.php | endpoint baixa conf | ✅ tracked | 🟡 MÉDIO | manter | api/admin/get_events_status.php | Scanner marcó como órfão, mas faz require dinâmico — endpoint real usado pelo admin/monitoramento; manter in-place |
| 22 | api/admin/monitor.php | endpoint baixa conf | ✅ tracked | 🟡 MÉDIO | manter | api/admin/monitor.php | Scanner marcó como órfão, mas requer painel/data/setup.php — endpoint real de monitoramento (AutoZap); manter in-place |
Análise Detalhada por Categoria
Categoria 1 — Segurança/Raiz (3 itens)
1. CREDENCIAIS_EXPOSTAS_RELATORIO.md 🔴 PRIORIDADE MÁXIMA
- Conteúdo real: relatório de auditoria de credenciais datado de 13/02/2026. Contém senhas, tokens e chaves de API em texto legível (DB_PASS, MAIL_SENHA, GOOGLE_CLIENT_SECRET, tokens PagSeguro/MercadoPago).
- Contradictio: O arquivo está na raiz E o título contém "CREDENCIAIS_EXPOSTA" — o que é irônico e arriscado.
- Contexto: O
.envjá existe e parece ser o canal oficial de configuração atual. As senhas neste relatório parecem ser do mesmo período. - Ação 1: Extrair o conteúdo SUBSTANTIVO (checklist de arquivos afetados, recomendações de segurança,_TEMPLATE de migração) e mover para
docs/seguranca/credenciais-audit-20260213.mdcom valores PLACEHOLDER. - Ação 2: Criar BK próprio para esta limpeza, com gate humano.
2. .env 🔴 PRIORIDADE ALTA
- Conteúdo real: 36 linhas com TODAS as credenciais de produção em texto: DB, SMTP, Google OAuth, Algolia, WhatsApp, MercadoPago, PagSeguro, Clarity, reCAPTCHA.
- Contexto: O arquivo foi atualizando pelo BK de credenciais (CREDENCIAIS_EXPOSTAS_RELATORIO.md). Parece estar funcionando em produção.
- Ação: Verificar
.gitignoredo RNT para garantir que.envestá ignorado. Se não estiver, adicionar. Se estiver, o problema é só que ele foi versionado uma vez — fazerBK de limpeza de histórico Git opcional. - Não mover sem plano de migração de configuração nos arquivos PHP que usam
getenv().
3. algolia_payload.json 🟡 PRIORIDADE MÉDIA
- Conteúdo real: JSON simples com query de busca do Algolia (sem credenciais). Aparece como "payload" de teste ou exemplo.
- Ação: Mover para
config/algolia_payload.json. Não contém secrets.
Categoria 2 — Docs BK Fora do Padrão (9 itens)
Todos estão tracked e contêm documentação operacional real. A ação correta é mover cada um para docs/backlog/ com o nome padronizado.
Exceção — BK-107: Status: incompleto (checklist com items -[ ]). Antes de mover, avaliar se ainda é relevante ou se o item deve ser marcado como abandonado no backlog.
Files com problemas de nomenclatura (maiúsculas + espaços):
docs/BK-133-RELATORIO-RESGATE-ARCHIVE-20260209.md→docs/backlog/BK-133-relatorio-resgate-archive-20260209.mddocs/BK-90-RELATORIO-TESTES-INTEGRACAO.md→docs/backlog/BK-90-relatorio-testes-integracao.mddocs/BK-94-RELATORIO-VALIDACAO-WHATSAPP.md→docs/backlog/BK-94-relatorio-validacao-whatsapp.md
Categoria 3 — Debug/Legado PHP (8 itens)
Todos estão tracked e são scripts de diagnóstico/desenvolvimento. Nenhum é crítico de produção, mas alguns (run_sql_local) têm potencial de dano.
Padrão identificado: Usam chdir('data') para mudar o diretório de trabalho antes de incluir arquivos — técnica de contorno de open_basedir que era usada no início da correção do BK-102/BK-105.
Classificação:
passcon.php: Visualização de pedidos — potencial uso legatório, requer validação manual.run_sql_local.php: INSERT SQL direto — nunca mover/executar sem validação completa.search_result.php: Template FlatLab estático (mirrored from HTTrack) — não integrado a nada, limpar.test_*.php(5 arquivos): Scripts de diagnóstico para setup/debug — limpos com chdir.
Todos os 8: Mover para admin/archive/ (criar diretório se não existir) com rename descritivo, antes de considerar exclusão definitiva.
Categoria 4 — Endpoints API (2 itens)
AVISO IMPORTANTE: O scanner de órfãos marcou esses 2 como "sem referência estática em require/include", mas ambos FAZEM require de arquivos do admin/painel. A detecção dinâmica os marcou como referenciados, mas a análise manual revela:
api/admin/get_events_status.php: Endpoint real. Retorna eventos ativos e pendentes. Usado pelo painel admin ou monitoramento. Manter in-place.api/admin/monitor.php: Endpoint real. Retorna contadores de pedidos/produtores/eventos pendentes para notificações em tempo real (AutoZap). Manter in-place.
Ação: Adicionar ao auditor_rnt_excludes.json como paths: ['api/admin/'] para silenciar o falso positivo, OU endurecer o scanner para não marcar arquivos em api/admin/ como órfãos.
Prioridades para Próxima Rodada
P0 — Segurança Urgente (executar primeiro)
- BK-156-P0: Tratar
CREDENCIAIS_EXPOSTAS_RELATORIO.md— extrair conteúdo útil, ofuscar valores, mover para docs/seguranca/ - BK-156-P0b: Verificar .gitignore do RNT para
.env— garantir que não entre novamente
P1 — Limpeza Estrutural (executar segundo)
- BK-156-P1: Mover os 9 docs BK para
docs/backlog/com rename padronizado - BK-156-P1b: Avaliar BK-107 (incompleto) — mover ou marcar como abandonado
P2 — Quarentena e Remoção (executar terceiro)
- BK-156-P2: Criar
admin/archive/, mover os 8 PHPs de debug - BK-156-P2b: Validar que
passcon.phperun_sql_local.phpsão órfãos reais antes de mover
P3 — Endpoints (executar por último)
- BK-156-P3: Adicionar
api/admin/ao excludes do auditor para eliminar falsos positivos
Evidências da Triagem
- Auditor executado em dry-run: 23 achados em 5 categorias
- Conteúdo de todos os arquivos inspecionado manualmente
- Arquivos PHP órfãos verificados por require/include estático e dinâmico
- BK-90, BK-94, BK-133 reconciliados com o changelog local do RNT
.envverificado: contém credenciais de produção (datadas de 2026-02)algolia_payload.jsonverificado: apenas estrutura de query, sem secrets
Validações
- Nenhum arquivo foi apagado nesta rodada
- Nenhum arquivo foi movido nesta rodada
- Nenhum arquivo foi alterado nesta rodada
- A triagem é puramente documental e classificatória