A engenharia 10x.
Lead único, decision tree de roteamento, 7 workflows canônicos, 13 hooks de quality gate, princípios Karpathy, Anti-IA Engineering Protocol (v3.5). Software como deveria ser feito — não como é normalmente feito.
Princípios fundadores
Lead único é não-negociável
O @engineering-chief é a porta de entrada para TUDO. Análogo ao @theboss do MSE. Sem chief, sem entrega — porque sem chief não tem briefing, triage, review nem delivery padronizados.
Karpathy guidelines aplicados
Think Before Coding (premissas explícitas), Simplicity First (zero abstração especulativa), Surgical Changes (toca só o necessário), Goal-Driven Execution (critério de sucesso verificável antes de loopar).
YAGNI · KISS · DRY
You Aren't Gonna Need It (zero feature pra hipotético futuro). Keep It Simple Stupid (3 linhas similares vence abstração prematura). Don't Repeat Yourself (apenas se o repeat for o MESMO conceito, não a mesma sintaxe).
TDD em features novas
Skill tdd-mastery ativa por padrão. Em features novas, testes primeiro. Em bug fixes, teste que reproduz o bug primeiro. Cobertura mínima 70% — bloca se cair abaixo.
Security-first em camadas
Hook secret-scanner HARD FAIL. Hooks dep-vuln-scan, license-check, sast-scan em pre-commit. @security-auditor (defensivo) + @penetration-tester (ofensivo). OWASP/MITRE/STRIDE.
Observability com SLO
Logs estruturados, traces (OpenTelemetry), métricas RED/USE. Skills monitoring-observability + slo-burn-rate-alerts. Multi-window burn-rate (Google SRE Workbook). Alertas acionáveis (zero barulho).
Anti-IA Engineering Protocol
8 perguntas bloqueantes antes de cada delivery: "isso parece código de IA?", "tem padrão genérico?", "tem abstração especulativa?", "tem fallback impossível?", "tem comentário óbvio?", "tem wrapper inútil?". Se SIM em qualquer = REPROVADO.
Allowlist de propriedade intelectual
.10x/allowlist.yaml com SHA-256 + salt. Modos internal (mentorado individual) ou distributed (squad compartilhado). Proteção do material exclusivo da Mentoria.
12 pecados de código IA (v3.5)
Anti-IA Engineering Protocol bloqueia código com qualquer um destes vícios. Espelha o sistema Anti-IA do MSE.
1 · Over-engineering
Solução desproporcional ao problema. Factory para criar 1 objeto.
2 · Premature abstraction
Generaliza antes de ter 3 casos reais. Vira "config hell".
3 · Try/catch swallow
catch (e) {} ou catch { return null }. Erro silenciado é bug invisível.
4 · Any explosion
TypeScript com any espalhado pra "facilitar". Anula o tipo system.
5 · Falsa flexibilidade
Param "para o futuro" que ninguém usa. Adiciona complexidade sem ROI.
6 · Comentários óbvios
// increment counter antes de i++. Ruído.
7 · Naming genérico
data, info, handler, process, helper. Comunica zero.
8 · Wrapper desnecessário
function add(a,b) { return a + b } sem motivo (validation/logging).
9 · Barrel files explosion
index.ts que reexporta tudo. Quebra tree-shaking, esconde deps.
10 · Retorno inflexionado
Retorna union type confuso (T | null | undefined | ''). Caller decifra.
11 · Test trivial
expect(true).toBe(true). Cobre métrica, não comportamento.
12 · Code generated não-pedido
Adiciona getters/setters/utility functions/error classes que ninguém pediu.
Decision tree de roteamento
O @engineering-chief consulta esta árvore antes de delegar. Cada folha tem agente(s) responsáveis e command associado quando aplicável.
Tarefa de engineering?
├── Incidente prod (P0/P1)? → /incident-triage + incident-responder + sre-engineer
├── Deploy? → /deploy-check + deployment-engineer
├── Cloudflare Pages? → /cf-deploy + cloudflare-pages-specialist
├── Segurança defensiva? → /security-audit + security-auditor
├── Pentesting/ofensivo? → penetration-tester (legal gate)
├── Performance/lentidão? → /perf-audit + performance-engineer + postgres-pro + production-debugger
├── Refactor/tech debt? → /refactor-pass + code-simplifier + simplify-gate hook
├── DB/queries/RLS? → /db-optimize + postgres-pro
├── PR/merge/quality gate? → /code-quality-gate + code-reviewer (16 checks v3.5)
├── DevEx/CI lento/monorepo? → /dx-audit + ci-cd-pipeline-designer + monorepo-architect
├── LLM routing/cost? → /llm-route + llm-architect + local-llm-orchestrator
├── Monorepo novo? → /monorepo-init + monorepo-architect
├── Feature nova:
│ ├── Next.js 16/App Router/RSC → nextjs-developer
│ ├── Node.js backend → node-specialist
│ ├── Python/FastAPI → fastapi-developer
│ ├── React Native/Expo → expo-react-native-expert
│ ├── Supabase/RLS/Edge Func → supabase-specialist
│ ├── JS moderno/tooling → javascript-pro
│ └── Genérico → planner → fullstack-developer
├── Infra:
│ ├── Cloud architecture → cloud-architect
│ ├── Deploy multi-cloud → deployment-engineer
│ └── Docker/containers → docker-expert
├── QA:
│ ├── Test strategy → qa-expert
│ ├── Automação → test-automator
│ └── Resiliência/chaos → chaos-engineer
├── AI/LLM:
│ ├── Sistema multi-LLM/RAG → ai-engineer
│ ├── Arquitetura LLM → llm-architect
│ ├── Eval/CI gate → evals-engineer
│ ├── Local LLM (Ollama/vLLM) → local-llm-orchestrator
│ └── Otimização de prompt → prompt-engineer
├── SaaS:
│ ├── Billing (Stripe/Polar) → billing-specialist
│ ├── Webhook bypass WAF → webhook-bypass-engineer
│ └── Funnel Labs delivery → funnel-labs-deliverer
├── SRE:
│ ├── SLI/SLO/burn-rate → sre-engineer
│ └── Production debug → production-debugger
├── Erro distribuído/correlação → error-detective + error-coordinator
├── Multi-agente paralelo → multi-agent-coordinator + context-manager
└── Síntese cross-agente → knowledge-synthesizer7 workflows canônicos
WORKFLOW 01
Feature Development
Pipeline: @engineering-chief → Anti-IA Protocol → @planner → @researcher (paralelo) → specialist → @tester → @code-reviewer (16 checks) → @security-auditor (se sensível) → @docs-manager → @git-manager.
Quando usar: features novas, mudanças não-triviais, código de produção.
WORKFLOW 02
Incidente Produção (P0/P1)
Pipeline: @incident-responder (lead) → @error-detective + @error-coordinator + @sre-engineer (paralelo) → mitigation imediata → RCA → @journal-writer (postmortem blameless).
Quando usar: sistema fora do ar, alertas P0/P1, perda de dados.
WORKFLOW 03
Performance Audit
Pipeline: /perf-audit → @performance-engineer (CWV, latency) + @postgres-pro (queries) + @production-debugger (eBPF/perf/py-spy) em paralelo → relatório consolidado → fixes priorizados → re-medição.
Quando usar: latência alta, query lentas, p99 fora do SLO, Core Web Vitals ruim.
WORKFLOW 04
Security Hardening (defensivo + ofensivo)
Pipeline: /security-audit → @security-auditor (OWASP + CVEs + threat model) + @penetration-tester (ATT&CK + recon + explotation) → fixes → @code-reviewer revalida → re-audit.
Quando usar: antes de release sensível, após incidente de segurança, audit periódico (trimestral).
WORKFLOW 05
Multi-Agent Parallel
Pipeline: @multi-agent-coordinator (orchestrator) → 3+ specialists em paralelo com context-manager → @knowledge-synthesizer agrega findings → @engineering-chief delivery.
Quando usar: tarefas grandes com partes independentes, audits cross-cutting, refactors em múltiplas camadas.
WORKFLOW 06 🆕 v3.2
SaaS Billing (Stripe/Polar/Paddle)
Pipeline: @billing-specialist desenha webhook handler com HMAC verification + idempotency keys → @postgres-pro define schema (subscriptions/payments/refunds) → @test-automator cobre edge cases → @security-auditor revisa.
Quando usar: subscription, one-shot, marketplace, refunds, dunning, MRR/ARR tracking.
WORKFLOW 07 🆕 v3.2
LLM Evals & Production Quality
Pipeline: @evals-engineer define dimensions (relevance, faithfulness, latency) → datasets golden → DeepEval/Ragas/promptfoo → CI gate → A/B variantes → produção monitoring.
Quando usar: sistema LLM em prod, regressão em prompt, comparar modelos, otimizar custo.
13 hooks ativos por padrão (25 scripts disponíveis)
13 hooks são ativos por default no settings-patch.json. Distribuídos em momentos estratégicos da operação.
| Hook | Trigger | Severity | O que faz |
|---|---|---|---|
secret-scanner | PreToolUse Write/Edit | HARD FAIL | Bloqueia escrita de arquivo com API_KEY, SECRET, TOKEN, password hard-coded |
commit-guard | PreToolUse Bash | HARD FAIL | Valida conventional commit (feat/fix/docs/chore/etc) antes de git commit |
dep-vuln-scan 🆕 | PreToolUse Bash | SOFT | npm/pip/cargo audit antes de commit (DEP_VULN_HARD_FAIL=1 pra bloquear) |
license-check 🆕 | PreToolUse Bash | SOFT | Detecta licenças copyleft proibidas (GPL/AGPL/SSPL/BUSL) |
sast-scan 🆕 | PostToolUse Edit | SOFT | Semgrep p/owasp-top-ten após cada edit |
type-check | PostToolUse .ts/.tsx | SOFT | tsc --noEmit nos arquivos alterados |
lint-fix | PostToolUse | SOFT | ESLint --fix / ruff format |
auto-test | PostToolUse src/ | SOFT | Roda testes relevantes ao diff |
simplify-gate 🆕 | PostToolUse Edit | SOFT | Detecta arquivo >600 linhas, deep nesting, any explosion |
skill-dedup 🆕 | SessionStart | INFO | Read-only — detecta skills duplicadas via Jaccard similarity |
prompt-check | UserPromptSubmit | SOFT | Detecta prompts vagos e pede mais contexto |
learning-log | SessionEnd | SOFT | Log diário de aprendizados em ~/.claude/learnings/ |
pre-compact | PreCompact | SOFT | Salva contexto crítico antes do compact |
Padrões enforcados (19 rules)
Code quality
naming, error-handling, dependency-management, testing, performance, anti-ai-engineering-protocol (v3.5).
Production-ready
security, accessibility, monitoring, api-design, database, supabase-source-of-truth.
Cloud & Pipeline
cloudflare-bypass, cloudflare-pages-deploy, ci-cd-caching, monorepo-conventions, docs-site-structure.
AI/LLM
local-llm-routing, next-standalone-middleware (auth em standalone).
Workflow
karpathy-guidelines, surgical-changes, no-fake-data, accentuation-pt-br.
O que NÃO é
❌ Não é "AI pair programming"
Não é assistente passivo. É squad com autoridade — chief reprova entrega que não bate o quality gate de 16 checks, mesmo se você reclamar.
❌ Não pula testes "porque tá apertado"
Sem testes = sem merge. Testes "porque o cliente tá esperando" é a forma mais cara de economizar tempo.
❌ Não inventa solução
Se um framework/API/MCP não é conhecido, o squad faz research (Context7, docs-seeker, web search) ANTES de aplicar. Zero chute.
❌ Não silencia erro
Try/catch que engole erro e retorna sucesso = REPROVADO (pecado #3 do Anti-IA Protocol). Erro precisa ser logado, classificado e tratado — ou propagado.
❌ Não escreve código com cara de IA
Anti-IA Engineering Protocol v3.5 bloqueia 12 pecados antes do delivery. Se virou "feito por IA", volta pro specialist com feedback específico.
❌ Não compartilha sem allowlist
v3.5 protege material exclusivo via SHA-256 hashed allowlist. Mentorado pode usar internal (próprio) ou distributed (squad da agência).