docs(onda-9.2): handoff RCA + runbook supabase volumes

[adm01-debug]

📚 Onda 9.2 — Persistir documentação do Vault Recovery

Companheiro do PR #124 (migration SQL). Este PR persiste no repositório a documentação produzida durante a Onda 9 — protegendo o conhecimento contra perda do container claude-code (volátil).

🎯 O que entra (2 arquivos, +600 linhas)

Arquivo	Linhas	Propósito
docs/handoff-2026-05-09-onda-9-vault-recovery.md	+419	Doc-mãe: RCA + decisões + recovery + backlog (versão redactada)
docs/runbooks/SUPABASE-VOLUMES-DOS-AND-DONTS.md	+181	Manual operacional: o que fazer (e não fazer) com volumes críticos

📖 O que cada arquivo contém

docs/handoff-2026-05-09-onda-9-vault-recovery.md

Captura forense completa da Onda 9, organizada em fases:

• F1 — RCA confirmatória: 13 evidências, causa raiz (chave pgsodium substituída via cp -p em 2026-04-29 corrompeu 31 secrets ao postgres reiniciar em 2026-05-06)
• F2 — Coleta de valores: 23/31 secrets recuperados via 4 fontes (Docker secrets, env vars, MinIO IAM, whatsapp_connections)
• F3 — Recovery cirúrgico: snapshot pré-fix + 24 UPDATEs validados + 7 DEFER documentados
• F4 — Prevenção: backup do volume + healthcheck automatizado (que virou o PR feat(onda-9.1): migration SQL vault healthcheck — persiste recovery da Onda 9 #124)
• Decisões aprovadas D1–D11 com justificativas
• Backlog para próximas sessões: 4 AI keys aguardando, 2 secrets DEFER, F4 pendências

Serve como referência de consulta quando alguém precisar entender:

• Por que existem secrets DEFER no vault.secrets
• Como reagir se o vault quebrar de novo
• Onde está o snapshot de rollback (vault.secrets_snapshot_pre_fix_20260509)

docs/runbooks/SUPABASE-VOLUMES-DOS-AND-DONTS.md

Runbook operacional (não-forense) com:

• TL;DR explicando a fragilidade do volume supabase_db_config
• ❌ DO NOT — 5 operações proibidas com exemplos de comandos
• ✅ DO — procedimentos corretos (backup, healthcheck, snapshot, deploy seguro do stack)
• 🚨 Caso histórico — resumo da Onda 9 (causa, recovery, lições)
• Plano de migração futura — deprecação pgsodium (Supabase issue #1204)

Pra ser consultado antes de tocar no stack supabase — não depois.

🔒 Auditoria de segurança

A doc-mãe original em /workspace/notes/ continha 6 credenciais em plaintext (linhas 155, 161, 165, 166, 178). Antes de copiar pro repo:

Tipo	Original	Substituído por
Evolution API key	429683C4...F7D57E11	<REDACTED-evolution-api-key>
Evolution API key v1	463ef...	<REDACTED-evolution-api-key-v1>
MinIO access key	AWefNN...wCBE	<REDACTED-minio-access-key>
MinIO root password	@Promo2024	<REDACTED-minio-password>
MinIO root user	AtomicaBR	<REDACTED-minio-user>
R2 account ID	cd0f4eee...	<REDACTED-r2-account-id>

Auditoria pré-commit (grep -nE "429683C4\|AWefNN\|@Promo2024\|cd0f4eee\|ptr_\|GOCSPX\|sefxwip\|AKIA\|sk-\|github_pat_"):

• ✅ docs/handoff-...md: 0 matches
• ✅ docs/runbooks/SUPABASE-VOLUMES...md: 0 matches

URLs públicas (*.atomicabr.com.br) e o email corporativo (ti04.promobrindes@gmail.com) foram mantidos — são metadados públicos, não credenciais.

A versão original com plaintext fica em /workspace/notes/onda-9-vault-recovery-2026-05-09.md (acesso restrito ao container Claude Code).

🎯 Por que está em docs/ e não só em /workspace/notes/

Precedente: PR #113 (docs: handoff completo encerramento faxina pré-deploy) já moveu handoff anterior pro repo pelos mesmos motivos:

• /workspace/notes/ é volátil (container claude-code reseta) — não há garantia de persistência
• docs/ é versionado junto com código — sobrevive a clones, deploys, backups
• Acessível pelo GitHub UI (Joaquim, devs, próximos Claudes via clone)

🔍 Risco

🟢 Zero. Apenas adições em docs/, sem mudança de código. Build/lint/CI não tocados.

📋 Contexto Onda 9 (3 PRs)

• ✅ PR 9.1 (#124) — migration SQL vault healthcheck (em review)
• 🔵 PR 9.2 (este) — docs (handoff RCA + runbook)
• ⏳ PR 9.3 (opcional, baixa prioridade) — comentário "DO NOT REMOVE" no docker-compose-supabase.yml

✅ Backlog Onda 9 — pendências externas (não bloqueiam encerramento)

Documentadas no handoff. Dependem de inputs externos:

1. Joaquim fornecer 4 AI keys (hf_api_token, openai_api_key, anthropic_api_key, openrouter_api_key) → recovery final 31/31
2. Decisão sobre minio_secret_key (MinIO offline, R2 substituiu)
3. Decisão sobre restore_test_ingest_token (sem caller localizado)
4. F4.P1 automatizado: cron diário de backup do volume supabase_db_config
5. F4.P5: GitHub issue tracking deprecação pgsodium (potencial PR 9.3)
6. FX-SCHEMA-DRIFT-01: auditoria de drift de schema em ~125 tabelas

🤖 Review

@coderabbitai full review

---

🤖 Generated with Claude Code

Summary by CodeRabbit

• Documentação
  • Adicionada documentação completa de recuperação de Vault corrompido, com análise da causa-raiz, cronograma de resolução, status operacional final e ações de prevenção implementadas (backups, snapshots, healthchecks e runbook).
  • Adicionado runbook em português com práticas seguras para gerenciamento de volumes Supabase, procedimentos de backup/validação e fluxo seguro de deploy/redeploy, incluindo lições aprendidas e plano de mitigação futuro.

[coderabbitai]

No actionable comments were generated in the recent review. 🎉

ℹ️ Recent review info

⚙️ Run configuration

Configuration used: Path: .coderabbit.yaml

Review profile: CHILL

Plan: Pro

Run ID: 54013b1a-d2ab-42e5-a255-cb5837e56b68

📥 Commits

Reviewing files that changed from the base of the PR and between e3942ac and e0e1482.

📒 Files selected for processing (1)

• docs/handoff-2026-05-09-onda-9-vault-recovery.md

✅ Files skipped from review due to trivial changes (1)

• docs/handoff-2026-05-09-onda-9-vault-recovery.md

---

Walkthrough

Este PR documenta a recuperação completa do incidente Onda 9: corrupção de 31 vault.secrets entries após comprometimento acidental de pgsodium_root.key. Inclui RCA detalhada, processo cirúrgico de recuperação (23/31 secrets coletados, 7 marcados como deferred), automação de healthcheck, e runbook de operações seguras para evitar recorrência.

Changes

Onda 9 — Vault Recovery & Prevention

Layer / File(s)	Summary
Análise de Incidente & RCA docs/handoff-2026-05-09-onda-9-vault-recovery.md (linhas 1–116)	Documentação de falha (invalid ciphertext em 31 secrets), contexto pré-incidente, e investigação detalhada da causa raiz: timeline de mudanças em pgsodium_root.key, comportamento de encriptação no Postgres, e limites de recuperabilidade.
Mapeamento & Coleta de Valores docs/handoff-2026-05-09-onda-9-vault-recovery.md (linhas 147–199)	Mapeamento dos 31 secrets em coletáveis vs deferred; fontes concretas para 23 valores (env vars, docker secrets) e preparação para a recuperação cirúrgica.
Execução de Recuperação docs/handoff-2026-05-09-onda-9-vault-recovery.md (linhas 200–251)	F3 recovery executado: pausa cron, snapshot pré-fix, updates por lote com validação byte‑for‑byte, marcação de 7 deferred com description, limpeza, reinício de supabase_functions e dispatch manual (HTTP 200).
Prevenção & Automações (Healthcheck) docs/handoff-2026-05-09-onda-9-vault-recovery.md (linhas 252–353)	Backup imediato de supabase_db_config, criação do runbook, e implementação de healthcheck automático: functions, view, log table, cron jobs; exemplos de queries e JSON de status esperado.
Runbook Operacional & Guardrails docs/runbooks/SUPABASE-VOLUMES-DOS-AND-DONTS.md (linhas 1–181)	Definição de volumes críticos, proibições explícitas (nunca trocar pgsodium_root.key, nunca deletar supabase_db_config), procedimentos corretos (backup, healthcheck pré/pós, snapshot para rollback, redeploy seguro), histórico do incidente e plano de migração de pgsodium.
Resumo Executivo & Status docs/handoff-2026-05-09-onda-9-vault-recovery.md (linhas 354–419)	Consolidação final: componentes quebrados vs restaurados (24 ok, 7 defer), checklist entregue, backlog residual, e referências a snapshot/backup e runbook.

---

Estimated code review effort

🎯 2 (Simple) | ⏱️ ~10 minutes

🚥 Pre-merge checks | ✅ 5

✅ Passed checks (5 passed)

Check name	Status	Explanation
Description Check	✅ Passed	Check skipped - CodeRabbit’s high-level summary is enabled.
Title check	✅ Passed	O título reflete com precisão o conteúdo do PR: dois documentos adicionados (handoff RCA e runbook) sobre recuperação de Vault e volumes Supabase.
Docstring Coverage	✅ Passed	No functions found in the changed files to evaluate docstring coverage. Skipping docstring coverage check.
Linked Issues check	✅ Passed	Check skipped because no linked issues were found for this pull request.
Out of Scope Changes check	✅ Passed	Check skipped because no linked issues were found for this pull request.

_{✏️ Tip: You can configure your own custom pre-merge checks in the settings.}

✨ Finishing Touches

🧪 Generate unit tests (beta)

• Create PR with unit tests
• Commit unit tests in branch docs/onda-9-vault-recovery

---

_{Comment @coderabbitai help to get the list of available commands and usage tips.}

[vercel]

The latest updates on your projects. Learn more about Vercel for GitHub.

Project	Deployment	Actions	Updated (UTC)
zapp-web	Ready	Preview, Comment	May 10, 2026 2:26pm

[chatgpt-codex-connector]

💡 Codex Review

Here are some automated review suggestions for this pull request.

Reviewed commit: e3942acea1

ℹ️ About Codex in GitHub

Your team has set up Codex to review pull requests in this repo. Reviews are triggered when you

• Open a pull request for review
• Mark a draft as ready
• Comment "@codex review".

If Codex has suggestions, it will comment; otherwise it will react with 👍.

Codex can also answer questions or update the PR. Try commenting "@codex address that feedback".

[Copilot]

Pull request overview

This PR adds two operational documentation files to preserve the Onda 9 Supabase Vault recovery RCA/handoff and to provide a runbook for handling critical Supabase volumes safely (especially supabase_db_config / pgsodium_root.key).

Changes:

• Add a redactada “doc-mãe” detailing Onda 9’s RCA, recovery steps, outcomes, and backlog.
• Add a practical runbook with DOs/DON’Ts and safe procedures for volume backup/healthchecks/redeploys.

Reviewed changes

Copilot reviewed 2 out of 2 changed files in this pull request and generated 6 comments.

File	Description
docs/handoff-2026-05-09-onda-9-vault-recovery.md	Incident handoff/RCA + recovery procedure + prevention backlog (redacted)
docs/runbooks/SUPABASE-VOLUMES-DOS-AND-DONTS.md	Operational runbook for critical Supabase volumes and safe handling practices

---

💡 Add Copilot custom instructions for smarter, more guided reviews. Learn how to get started.

[adm01-debug]

@coderabbitai full review

[coderabbitai]

✅ Actions performed

Full review triggered.

[coderabbitai]

Actionable comments posted: 3

🤖 Prompt for all review comments with AI agents

Verify each finding against current code. Fix only still-valid issues, skip the
rest with a brief reason, keep changes minimal, and validate.

Inline comments:
In `@docs/handoff-2026-05-09-onda-9-vault-recovery.md`:
- Around line 19-24: Fix the markdownlint warnings by adding explicit language
tags to all fenced code blocks (use ```text for those plain-text blocks) and
disambiguate duplicate headings titled "Estado atual" by renaming them to unique
headings (e.g., "Estado atual (F2)" and "Estado atual (encerramento F4)") so
MD040 and MD024 are resolved; update every occurrence of the triple-backtick
blocks and every "Estado atual" heading in the document and the other flagged
sections so the linter no longer reports missing code languages or duplicate
headings.
- Line 2: Remove all plaintext internal paths and infra location references from
the public handoff (e.g., the literal
'/workspace/notes/onda-9-vault-recovery-2026-05-09.md' shown in the header) and
replace them with non-sensitive, generic placeholders like
'<INTERNAL_NOTE_LOCATION>' or "internal secure storage (access-controlled)";
update any explanatory sentence to state that an internal plaintext copy exists
but do not include exact path or environment identifiers. Apply the same
sanitization to the other flagged ranges (around lines 250, 257-264, and
412-418) to redact hostnames, backup locations, container names, or any
environment-specific IDs, and ensure the file header and any footers mention
"sensitive details removed" rather than exposing infrastructure paths.
- Line 187: Corrija a contagem inconsistente alterando a string literal
"**Coletados: 23/31 | DEFER: 8/31**" para "**Coletados: 23/31 | DEFER: 7/31**"
(ou ajuste o número para refletir o estado final mostrado na lista), e
verifique/atualize quaisquer outras ocorrências do contador "DEFER" no documento
para manter consistência com a lista final.

🪄 Autofix (Beta)

Fix all unresolved CodeRabbit comments on this PR:

• Push a commit to this branch (recommended)
• Create a new PR with the fixes

---

ℹ️ Review info

⚙️ Run configuration

Configuration used: Path: .coderabbit.yaml

Review profile: CHILL

Plan: Pro

Run ID: 8ae22810-0642-4939-87c0-1e21256881a7

📥 Commits

Reviewing files that changed from the base of the PR and between 9f53ab2 and e3942ac.

📒 Files selected for processing (2)

• docs/handoff-2026-05-09-onda-9-vault-recovery.md
• docs/runbooks/SUPABASE-VOLUMES-DOS-AND-DONTS.md

[adm01-debug]

@coderabbitai obrigado pelo feedback! Aplicadas as 3 correções em e0e1482fd.

Issue 1 (Major) — Sanitizar paths internos ✅

7 ocorrências de /workspace/notes/* em 6 linhas substituídas por placeholders genéricos:

Antes	Depois
/workspace/notes/onda-9-*.md (acesso restrito ao container Claude Code)	armazenamento interno com acesso controlado
/workspace/notes/runbooks/SUPABASE-VOLUMES-...md	docs/runbooks/SUPABASE-VOLUMES-...md (versionado neste repositório)
/workspace/notes/backups/supabase_db_config_*.tar.gz	<internal-backup-storage>/supabase_db_config_*.tar.gz
sim, em /workspace/notes/backups/	sim, em armazenamento interno (acesso controlado)

Auditoria pós-edit: grep -c "/workspace" handoff-...md → 0 ocorrências.

Issue 2 (Minor) — markdownlint MD040 + MD024 ✅

MD040 (code blocks sem linguagem): 5 fences de abertura ganharam linguagem text (linhas 19, 91, 234, 256, 396). Os 6 fences de fechamento ``` permanecem sem linguagem — não é exigido pelo lint.

MD024 (headings duplicados): você citou 2 duplicados, encontrei 3. Todos renomeados:

Linha	Antes	Depois
138	## Estado atual	## Estado atual (pós-F1 RCA)
200	## Estado atual	## Estado atual (pós-F3 recovery)
301	## Estado atual	## Estado atual (encerramento F4)

Issue 3 (Minor) — Inconsistência DEFER 8/31 → 7/31 ✅

Linha 187 corrigida: **Coletados: 23/31 | DEFER: 7/31**. Agora consistente com o resto do documento.

Auditoria final (8/8 critérios passaram)

1. Paths internos (/workspace/*):       0 ✅
2. Code blocks sem linguagem:           6 (todos closing) ✅
3. Code blocks com linguagem:           6 ✅
4. Heading 'Estado atual' duplicado:    0 ✅
5. Heading 'Estado atual ...' único:    3 ✅
6. DEFER: 8/31:                          0 ✅
7. DEFER: 7/31:                          1 ✅
8. Secrets sensíveis:                    0 ✅

Pronto pra re-review.

[coderabbitai]

@adm01-debug Excelente trabalho — auditoria 8/8 aprovada e as correções bem documentadas. Confirmadas as 3 issues endereçadas em e0e1482fd:

• ✅ Issue 1 (Major): Paths /workspace/* zerados (0 ocorrências pós-edit)
• ✅ Issue 2 (Minor): MD040 e MD024 corrigidos; os 3 headings duplicados renomeados com sufixos de fase
• ✅ Issue 3 (Minor): Contagem DEFER 8/31 → 7/31 consistente no documento inteiro

Iniciando re-review.

✅ Actions performed

Review triggered.

Note: CodeRabbit is an incremental review system and does not re-review already reviewed commits. This command is applicable only when automatic reviews are paused.

[chatgpt-codex-connector]

💡 Codex Review

Here are some automated review suggestions for this pull request.

Reviewed commit: e0e1482fd5

ℹ️ About Codex in GitHub

Your team has set up Codex to review pull requests in this repo. Reviews are triggered when you

• Open a pull request for review
• Mark a draft as ready
• Comment "@codex review".

If Codex has suggestions, it will comment; otherwise it will react with 👍.

Codex can also answer questions or update the PR. Try commenting "@codex address that feedback".

[adm01-debug]

🧹 Encerramento das review threads (auditoria pós-merge)

Auditoria completa realizada. Todas as 9 threads abertas pelos reviewers Copilot e Codex foram avaliadas e marcadas como Resolved:

✅ Endereçadas (correção em main)

Thread	Status
L228 — vazamento prefixo 429683... (Copilot)	Endereçado pelo PR #128. Substituído por <REDACTED-evolution-api-key-prefix>. Validado: 0 ocorrências de 429683 em main.
runbook L130 — docker-compose-supabase.yml inexistente (Copilot)	Endereçado pelo PR #128. Substituído por /root/supabase.yaml (arquivo real na VPS, conforme docs/DEPLOYMENT.md). 0 ocorrências de docker-compose-supabase em main.

🟡 Backlog aceito (não bloqueante)

Thread	Justificativa
L198 — typo 'nao' sem acento (Copilot)	Cosmético.
L40 runbook — supabase_db vs supabase-db (Copilot)	Cosmético. Ambos refs funcionam (DNS Swarm e nome de container).
L15 — hipótese inicial divergente do RCA (Copilot)	Doc histórico — hipótese inicial é parte do raciocínio investigativo, RCA final está claro abaixo.
L56 — Estado atual stale na seção F1 (Codex)	Doc histórico — cada bloco F1/F2/F3/F4 tem seu próprio Estado atual evolutivo.
L64 runbook — healthcheck steps não-condicionais (Codex)	Estilístico.
L89 runbook — tar verification deve usar shell (Codex)	Estilo. Comando funciona.
Outdated thread DEFER 8/31 (Copilot)	Já corrigido. Estado final: 7 DEFER.

Validação em produção (hoje):

{"ok": 24, "fail": 0, "defer": 7, "status": "healthy"}

Onda 9 oficialmente arquivada. Documentação consolidada em /workspace/notes/onda-9-FECHADA-2026-05-10.md.