· ENPT-BR
Grok Build para Alembic · Operação honesta

Fronteiras de produção: roster, Docker, credenciais

Impeça que um provider opt-in bem-sucedido vire silenciosamente uma dependência de produção não provada.

Fonte primária
Guia fixado de autenticação

Commit upstream fixado: b189869b7755d2b482969acf6c92da3ecfeffd36

A camada Simples se sustenta sozinha; abra Técnico para contratos exatos e edge cases.
Ao final, você consegue
  • Distinguir disponibilidade do provider de seleção no roster.
  • Listar pré-requisitos Docker sem realizar rollout não aprovado.
  • Manter secrets fora de comandos, artefatos e logs.
1

A grande ideia


Adicionar `factory.grok()` disponibiliza uma capacidade para callers explícitos. Não instala Grok na imagem da Factory, não autentica um container e não adiciona Grok ao roster fixo de planner/implementer/reviewer. Essas são decisões separadas com Proof Gates separados.

Pense como… Colocar um instrumento novo no depósito não reescreve a partitura nem põe um músico no palco. A analogia quebra porque um CLI também precisa de credenciais, rede, pin de versão e política de sandbox antes de o palco existir.

`.factory/run.ts` continua um roster pequeno e explícito: Claude para planning/publishing e rotas Codex para implementation/review. `.factory/Dockerfile` instala Codex e Claude fixados, não Grok. O export do provider é apenas superfície aditiva de biblioteca.

Para CI/container, o guia upstream suporta `XAI_API_KEY` e flows de device/external auth; credenciais de browser armazenadas têm precedência quando presentes. Um design de produção precisa escolher um método de injeção, impedir logs, fixar o CLI e provar a imagem exata. Não deve copiar `~/.grok/auth.json` casualmente.

Evidência: Guia fixado de autenticação

providerexporthostDockerfilepin do binário Seguro: caller explícito, secret injetada, imagem fixada, smoke independente.
Impeça que um provider opt-in bem-sucedido vire silenciosamente uma dependência de produção não provada.
2

Compare as fronteiras


Seguro
Seguro: caller explícito, secret injetada, imagem fixada, smoke independente.
Arriscado
Arriscado: auto-route para CLI apenas host ou copiar auth pessoal para uma imagem.
SuperfícieUpstreamAlembicVeredito
Library export`factory.grok()` disponívelJá implementadoOPT-IN
Factory imageBinário fixado + auth + redeGrok não instaladoFUTURE
Fixed rosterEscolha planner/implementer/reviewerSem rota GrokUNCHANGED

Para CI/container, o guia upstream suporta `XAI_API_KEY` e flows de device/external auth; credenciais de browser armazenadas têm precedência quando presentes. Um design de produção precisa escolher um método de injeção, impedir logs, fixar o CLI e provar a imagem exata. Não deve copiar `~/.grok/auth.json` casualmente.

3

Código e comandos reais


.factory/run.ts + .factory/Dockerfile
rg -n "planner:|implementer:|reviewer:" .factory/run.ts
rg -n "codex|claude|grok" .factory/Dockerfile

# Current evidence:
# .factory/run.ts -> Claude/Codex fixed roster
# .factory/Dockerfile -> Codex + Claude install; no Grok
Como chegar lá
sed -n '1,90p' .factory/run.ts
sed -n '1,90p' .factory/Dockerfile
sed -n '1,70p' packages/factory/README.md

Evidência: RESOURCES.md

4

Atlas visual


entradaprovaprovider
Trace a fronteira: provider.
superfíciecosturadonoexport
Localize o dono: export.
afirmaçãosem gateevidênciana fronteiravshost
Compare afirmação e evidência: host.
aprenderexecutarverificarDockerfile
Leia a sequência: Dockerfile.
completo?sim / nãopin do binário
Encontre o gate de decisão: pin do binário.
entradaprovaXAI_API_KEY
Trace a fronteira: XAI_API_KEY.
superfíciecosturadonoauth.json
Localize o dono: auth.json.
afirmaçãosem gateevidênciana fronteiravsrede
Compare afirmação e evidência: rede.
aprenderexecutarverificarsandbox
Leia a sequência: sandbox.
completo?sim / nãosmoke na imagem
Encontre o gate de decisão: smoke na imagem.
entradaprovarun.ts
Trace a fronteira: run.ts.
superfíciecosturadonoplanejador
Localize o dono: planejador.
afirmaçãosem gateevidênciana fronteiravsrevisor
Compare afirmação e evidência: revisor.
aprenderexecutarverificarroster
Leia a sequência: roster.
5

Prática e feedback


Preveja antes de revelar

`factory.grok()` funciona no host. `.factory/run.ts` pode rotear trabalho de produção para ele agora?

Não. A imagem, o caminho de credencial e o routing de produção são fronteiras separadas não provadas.

Cartões de recuperação

Cartões de recuperaçãoLibrary surfaceClique ou pressione Enter para virar
Library surfaceCapacidade disponível para callers explícitos.
Cartões de recuperaçãoFixed rosterClique ou pressione Enter para virar
Fixed rosterOs providers declarados usados pelo fluxo de produção.
Cartões de recuperaçãoImage proofClique ou pressione Enter para virar
Image proofSmoke dentro do container exato e fixado.
Cartões de recuperaçãoSecret injectionClique ou pressione Enter para virar
Secret injectionEntrega de credencial em runtime sem vazamento no artefato.
Adicionar `factory.grok()` disponibiliza uma capacidade para callers explícitos. Não instala Grok na imagem da Factory, não autentica um container e não adiciona Grok ao roster fixo de planner/implementer/reviewer. Essas são decisões separadas com Proof Gates separados.
`.factory/run.ts` continua um roster pequeno e explícito: Claude para planning/publishing e rotas Codex para implementation/review. `.factory/Dockerfile` instala Codex e Claude fixados, não Grok. O export do provider é apenas superfície aditiva de biblioteca.

Alterne as camadas de produção

Selecione uma camada e veja seu pré-requisito e status atual.

Veredito

Resumo em quatro slides

Library surface

Capacidade disponível para callers explícitos.

Fixed roster

Os providers declarados usados pelo fluxo de produção.

Image proof

Smoke dentro do container exato e fixado.

Secret injection

Entrega de credencial em runtime sem vazamento no artefato.

Teste seu modelo

Revisão espaçada

O que muda quando `factory.grok()` é exportado?

A biblioteca ganha um constructor explícito; roster e imagem permanecem inalterados.
6

Fontes e próximo movimento


Peça ao seu professor para desafiar um veredito, repetir um evento ou revisar uma unidade futura com a mesma disciplina de prova.