Se você encontrou uma vulnerabilidade de segurança nesta skill, por favor NÃO abra issue pública. Em vez disso:

• DM no Instagram: @thidebrito
• Ou abra uma security advisory privada no GitHub: Security tab → Report a vulnerability

• Exposição de dados sensíveis em outputs gerados pela skill
• Bypass dos bloqueadores éticos (E1-E6 do validador)
• Vulnerabilidade em qualquer um dos 5 subagentes (researcher / strategist / designer / copywriter / builder)
• Caminho de injection via briefing (prompt injection)
• Vazamento de dados de clientes anteriores entre sessões

• Falsos positivos no validador (use --bypass-validator=<E#> se necessário)
• Layout quebrado em browser específico (abra issue normal)
• Sugestões de novas features (use Discussions)

Esta skill NUNCA envia dados do briefing pra serviços externos exceto quando você roda o researcher (que usa WebFetch pra acessar o site público do cliente).

Todos os outputs ficam localmente em ~/PROJETOS/<cliente>-pitch/.

Você é responsável por:

• Não compartilhar a pasta analise-privada.md (privada por design)
• Não publicar URLs do pitch em buscadores (meta noindex já bloqueia indexação acidental)
• Obter autorização do cliente antes de usar o pitch como exemplo público em portfolio/cases

v2.1 · 2026 · MIT License · feito por @thidebrito