Протокол инженерной доводки AI-проекта

Ты будешь проводить инженерный аудит AI-generated проекта.

Сначала не вноси изменения в код. Работай поэтапно:

1. Сначала изучи проект.
2. Потом составь карту проекта.
3. Потом создай или обнови архитектурную справку.
4. Потом проведи аудит.
5. Потом выведи отчет.
6. Потом предложи план исправлений.
7. Исправления начинай только после моего подтверждения.

Режим аудита: [Light / Standard / Full]
Режим действий: [Только отчет / Отчет и исправление критичного / Полная доводка]

Общие правила:

- Не переписывай проект целиком без необходимости.
- Не делай массовые правки без подтверждения.
- Не скрывай риски.
- Все выводы подтверждай файлами, строками и причиной.
- Если не хватает контекста, сначала скажи, какие файлы нужно посмотреть.
- Если находишь секреты, не выводи их полностью в отчет.
- Если предлагаешь новую зависимость, сначала проверь ее необходимость, репутацию, поддержку, лицензию и альтернативы.
- После каждого этапа выводи краткий отчет: что изучено, что найдено, что дальше.
- Не ограничивайся только тем, что я явно написал. Если видишь важные риски, пропущенные вопросы, недостающие проверки или смежные проблемы — предложи их отдельно в разделе “Что я мог упустить”.
- После выполнения каждого этапа перепроверь свою работу: сравни результат с исходной задачей, проверь diff/измененные файлы, команды, риски и недостающие проверки.
- Если в процессе обнаружишь баги рядом с задачей: исправь только мелкие безопасные баги, если они прямо связаны с текущей областью; крупные или рискованные изменения не делай без approval — вынеси их в отчет и backlog.

Проведи этап Code Discovery.

Цель: найти ключевые части проекта и составить компактную evidence map.

Не меняй код.

Найди:

- основные директории проекта
- entrypoints приложения
- frontend-компоненты
- backend/API endpoints
- модели данных
- слой базы данных
- auth/access control
- env/config файлы
- CI/CD и deploy файлы
- внешние интеграции
- зависимости и lockfile
- тесты
- security-sensitive файлы
- monitoring/alerting файлы
- third-party/supply-chain файлы
- потенциально рискованные зоны

Если доступен более дешевый/быстрый subagent для поиска кода, используй его только для поиска. Он не должен править код и не должен делать финальные выводы.

Ограничения для subagent:

- максимум 50 файлов в evidence map
- максимум 200 строк кода на файл
- максимум 3 уровня обхода зависимостей
- не читать .env, .env.local, .env.production
- не читать бинарники, логи и файлы больше 1MB без необходимости
- не выводить секреты
- для каждой находки указывать confidence: high / medium / low

Формат evidence map:

| Файл | Строки | Символ / endpoint / компонент | Что найдено | Почему важно | Confidence |
|---|---|---|---|---|---|

После discovery создай или обнови файл:

PROJECT_MAP.md

Он должен включать:

- структуру проекта
- ключевые модули
- точки входа
- API/routes
- auth
- database/storage
- external integrations
- CI/CD
- tests
- monitoring/alerts
- supply-chain файлы
- known risky areas
- что нужно изучить глубже

Проверь, есть ли в проекте актуальная архитектурная справка.

Если файла ARCHITECTURE.md нет — создай его.
Если файл есть — проверь, соответствует ли он реальному коду, и обнови при необходимости.

Важно:

- не придумывай архитектуру заранее
- используй только фактически найденные файлы, модули, API, модели и зависимости
- явно помечай места, где информации недостаточно
- не описывай несуществующие компоненты
- указывай реальные файлы и модули
- если есть спорные места, помечай их как “требует уточнения”

ARCHITECTURE.md должен включать:

- назначение проекта
- краткое описание продукта
- общую структуру папок
- описание основных модулей
- точки входа
- frontend / backend / database слои
- основные API / сервисы / интеграции
- поток данных между частями системы
- описание авторизации и ролей
- описание хранения данных
- описание конфигурации и env-переменных
- описание фоновых задач, очередей, cron, workers, если они есть
- описание внешних зависимостей
- описание supply-chain security процесса
- описание мониторинга, логов и алертов
- описание CI/CD и deploy
- описание backup / restore, если применимо
- known risks
- рекомендации по улучшению архитектуры

После создания или обновления выведи краткий отчет:

- что создано/обновлено
- какие части архитектуры понятны
- где есть неопределенность
- какие архитектурные риски обнаружены

Проведи полный аудит проекта.

Не вноси изменения в код без подтверждения.

Проверь:

1. Архитектура
- структура проекта
- разделение слоев
- циклические зависимости
- большие файлы/компоненты
- масштабируемость
- поддерживаемость
- соответствие ARCHITECTURE.md реальному коду

2. Бизнес-логика
- соответствие ожидаемому поведению
- edge cases
- пустые/невалидные/дублирующиеся данные
- риск потери данных
- риск двойного выполнения действий
- транзакционность и консистентность

3. Качество кода
- баги
- dead code
- дублирование
- маркеры TODO/FIXME внутри кода
- console.log/debug
- async/await ошибки
- race conditions
- memory leaks
- null/undefined проблемы
- типы и стиль

4. Security
- секреты
- env
- auth
- roles
- access control
- XSS
- CSRF
- SQL/NoSQL injection
- SSRF
- RCE
- path traversal
- IDOR
- open redirect
- rate limiting
- brute force protection
- security headers
- cookies/sessions
- sensitive logs

5. API и интеграции
- request validation
- error responses
- private data leaks
- timeouts
- retries
- rate limits
- webhook signatures
- API versioning
- breaking changes
- contract tests

6. База данных
- схема
- индексы
- миграции
- constraints
- backup/restore
- long queries
- N+1
- rollback
- zero-downtime migration pattern: Expand and Contract
- запрет деструктивных миграций без безопасного плана

7. Тесты
- unit
- integration
- e2e
- security
- auth
- regression
- smoke
- contract tests
- missing critical tests

8. UI/UX
- loading/error/empty/success states
- forms
- validation
- mobile/desktop
- accessibility
- double-submit protection

9. Device / Browser QA
- проверить mobile / desktop / tablet
- проверить Chrome / Safari / Firefox / Edge
- проверить отсутствие horizontal overflow
- проверить forms, modals, copy buttons, tables, code blocks
- проверить sticky header / anchor navigation
- проверить touch-friendly размеры кнопок, чекбоксов, ссылок, CTA и элементов оплаты на mobile
- проверить accessibility baseline

10. DevOps
- local setup
- build
- deploy
- Docker
- CI/CD
- .github/workflows, CI/CD configs и deploy scripts на hardcoded secrets, небезопасные permissions, вывод env в logs и actions без pinning
- branch protection
- staging
- rollback
- post-deploy validation

11. Monitoring и alerts
- logs
- metrics
- traces
- healthcheck
- readiness/liveness
- correlation ID / trace ID
- Sentry/Grafana/Telegram/Slack/PagerDuty или аналоги
- alert fatigue risk
- разделение алертов на Critical / Warning / Info

12. Performance
- N+1
- лишние запросы
- caching
- pagination
- slow queries
- memory/CPU
- load testing
- p95/p99 latency
- error rate under load

13. Data privacy
- персональные данные
- sensitive data
- log redaction
- retention policy
- внешние сервисы
- AI prompts/logs

14. Legal / Compliance
- ПДн, РКН, 152-ФЗ
- политика ПДн
- согласия рядом с формами
- cookie / analytics
- трансграничная передача
- документы сайта
- рассылки и рекламные согласия
- что нужно проверить с юристом

15. Payments, если есть оплата
- online payment
- webhooks
- fiscalization
- 54-ФЗ
- online cashier / ОФД
- чек оплаты
- чек возврата
- оферта
- правила возврата
- что нужно проверить с бухгалтером / юристом

16. AI-specific risks, если проект использует ИИ
- prompt injection
- data exfiltration
- unsafe tool calls
- secrets in prompts
- hallucinated actions
- cost limits
- rate limits
- fallback при недоступности модели

17. Security scanners
- Trivy для filesystem/image/misconfig/secrets/license, если доступен
- OSV-Scanner для dependency vulnerabilities, если доступен
- Gitleaks для secrets, если доступен
- если запустить нельзя — дать команды для ручного запуска

Для каждой проблемы укажи:

- приоритет: critical / high / medium / low
- файл
- строки
- описание
- риск
- как исправить
- нужен ли тест
- нужен ли алерт
- блокирует ли merge
- блокирует ли production

Выведи отчет, но пока не исправляй.

Проведи отдельный аудит Supply Chain Security.

Не меняй код без подтверждения.

Проверь:

- внешние репозитории
- npm/pip/composer/go/cargo зависимости
- lockfile
- зависимости из git/tarball/unknown registry
- Docker images
- GitHub Actions / CI workflows
- внешние SDK/API
- плагины
- датасеты
- install scripts: preinstall, postinstall, prepare
- curl|bash паттерны
- eval / Function / shell exec
- obfuscated/minified server-side code
- бинарники непонятного происхождения
- deprecated / abandoned packages
- typosquatting risk
- dependency confusion risk
- package hallucination risk: AI мог предложить несуществующий или новый подозрительный пакет
- license compliance
- GPL/commercial license conflicts
- actions без pinned SHA
- Docker images без pinned digest

Проверь автообновления:

- есть ли update scripts
- не делают ли они pull latest напрямую в main/prod
- создают ли они PR
- есть ли quarantine/sandbox
- есть ли security scan перед update
- есть ли changelog/diff summary
- есть ли staging
- есть ли rollback
- есть ли manual approval для major/security-sensitive updates
- есть ли audit trail

Правило:

Автообновление не должно напрямую менять main или production.
Автообновление должно создавать PR с результатами проверок.

Если процесса нет, предложи минимальную схему:

- THIRD_PARTY.md
- SECURITY_SUPPLY_CHAIN.md
- реестр внешних зависимостей
- allowlist trusted sources
- denylist dangerous packages/licenses/patterns
- quarantine/sandbox
- CI checks на PR
- weekly rescan
- staging перед production
- rollback plan
- alerts на supply-chain risks

В отчете укажи:

- текущий уровень supply-chain безопасности: low / medium / high
- что опасно
- что нужно закрепить версиями
- что нужно удалить/заменить
- какие проверки добавить в CI
- какие алерты добавить
- какие сканеры реально запускались
- что найдено сканерами, а что подтверждено только вручную

Проверь, есть ли в проекте система будущих проверок, мониторинга и алертов.

Не внедряй тяжелые внешние сервисы без подтверждения. Сначала предложи минимальный вариант для текущего стека.

Проверь:

1. На каждый PR
- lint
- typecheck
- tests
- build
- dependency scan
- secret scan
- security scan
- license scan
- lockfile check
- CI/CD file change check
- Dockerfile check
- migration check

2. На merge в main
- full test suite
- full security scan
- build artifact
- staging deploy
- smoke tests
- healthcheck
- alert при failed checks

3. После deploy
- healthcheck
- smoke tests
- latency check
- error-rate check
- external integrations check
- business-critical scenario check
- rollback trigger

4. По расписанию
- weekly dependency scan
- weekly secret scan
- weekly supply-chain scan
- external API availability check
- backup/restore test
- alerting test
- AI cost check, если применимо

5. Security scanners и блокировки
- добавить scheduled scans
- alert при найденном реальном секрете
- alert при high/critical vulnerabilities
- block merge при critical finding или documented exception flow

Проверь алерты:

Critical:
- production down
- healthcheck failed
- payment/registration/key flow broken
- database down
- high/critical vulnerability
- secret leaked
- deploy failed
- rollback triggered

Warning:
- рост 5xx/4xx
- latency increased
- external API degraded
- failed jobs increased
- dependency scan warning
- high CPU/memory/disk

Info:
- неуспешные логины
- minor validation errors
- non-critical scan findings
- scheduled scan completed

Если файлов нет, создай или предложи:

- MONITORING.md
- ALERTING.md
- RUNBOOK.md
- INCIDENT_RESPONSE.md
- BACKUP_RESTORE.md

Для каждого алерта укажи:

- название
- условие
- критичность
- куда отправлять
- кто реагирует
- что делать
- как проверить восстановление
- как избежать alert fatigue

Сформируй итоговый отчет по аудиту.

Формат:

## 1. Вердикт

- Merge: да / нет / после правок
- Production: да / нет / после правок
- Staging: да / нет / после правок
- Уровень готовности: low / medium / high
- Уровень безопасности: low / medium / high
- Уровень supply-chain безопасности: low / medium / high
- Уровень мониторинга и алертов: low / medium / high
- Уровень архитектурной зрелости: low / medium / high
- Уровень тестового покрытия: low / medium / high

## 1A. AI Project Readiness Score

Выведи Readiness Score по зонам 0–5 и объясни, что блокирует следующий уровень:

- Architecture readiness
- Security / self-protection readiness
- Supply-chain readiness
- Database / Load readiness
- Deploy readiness
- Device/browser readiness
- Legal/payment readiness
- AI-agent readiness
- Self-Protection readiness
- Database / Load readiness
- Review readiness

## 2. Главные блокеры

Список проблем, которые блокируют merge или production.

## 3. Evidence map

| Файл | Строки | Что важно | Почему проверялось |
|---|---|---|---|

## 4. Архитектура

- что хорошо
- что плохо
- что рискованно
- есть ли PROJECT_MAP.md
- есть ли ARCHITECTURE.md
- что создано/обновлено

## 5. Security

- самые опасные уязвимости
- что исправить обязательно
- какие security alerts нужны

## 5A. Self-Protection / Internal Security

- что проект раскрывает публично;
- какие internal docs, routes, logs, backups или debug-артефакты доступны снаружи;
- где лежит архитектурная справка и нужна ли sanitized/public version;
- какие worker/scanner/browser automation процессы работают с лишними правами;
- какие ограничения по secrets, outbound и webroot нужны;
- что должен увидеть внешний сканер, а что не должен.

## 6. Supply Chain

- опасные зависимости
- внешние repo/API/Docker/GitHub Actions риски
- что закрепить версиями
- что удалить/заменить
- какие проверки добавить
- как выглядит quarantine process;
- как устроен safe update pipeline;
- где нужен rollback.

## 6A. Security scanner results

- какие сканеры запускались
- какие команды
- результаты
- что является noise
- что требует срочного исправления

## 7. Monitoring и alerts

- что есть
- чего не хватает
- какие алерты обязательны
- где риск alert fatigue

## 8. Device / Browser QA findings

- что проверено
- какие устройства / браузеры
- какие проблемы есть
- что блокирует production

## 9. Legal / Compliance findings

- какие данные собираются
- какие документы есть / отсутствуют
- какие согласия нужны
- какие cookie / analytics риски
- какие РКН / 152-ФЗ вопросы
- есть ли трансграничная передача
- что нужно проверить с юристом
- что блокирует production

## 10. Payments / 54-ФЗ findings

- есть ли оплата
- есть ли чек
- есть ли возврат
- есть ли касса / ОФД
- какие документы отсутствуют
- что проверить с бухгалтером / юристом
- что блокирует production

## 11. Data / Privacy / Backup

- sensitive data
- backup/restore
- retention/logging risks

## 11A. Database / Load / Scalability Readiness

- data model / ERD status;
- migration status;
- index / query risks;
- N+1 / pagination findings;
- background jobs / queue needs;
- idempotency findings;
- external API / LLM bottlenecks;
- cache / rate limit notes;
- backup/restore status;
- top scalability risks;
- scalability backlog.

## 12. AI / Cost risks, если применимо

- prompt injection
- unsafe tool calls
- token/cost limits
- hallucinated dependencies

## 13. Критичные проблемы

| Приоритет | Файл | Проблема | Риск | Как исправить | Нужен тест | Нужен алерт |
|---|---|---|---|---|---|---|

## 14. Средние проблемы

| Приоритет | Файл | Проблема | Риск | Как исправить | Нужен тест | Нужен алерт |
|---|---|---|---|---|---|---|

## 15. Мелкие улучшения

Список.

## 16. Definition of Done

Четкий чек-лист, когда проект можно считать готовым.

Минимум:

- нет hardcoded secrets
- нет critical/high vulnerabilities без documented exception
- есть .env.example без реальных секретов
- есть PROJECT_MAP.md
- есть ARCHITECTURE.md
- критичные сценарии покрыты тестами или manual QA
- есть healthcheck
- есть базовый error logging
- есть план rollback
- внешние зависимости зафиксированы
- production deploy не идет напрямую без проверок
- README.md содержит команды локального запуска, сборки, тестов и deploy path или есть задача на его обновление
- проверены mobile и desktop
- проверены основные браузеры
- нет горизонтального скролла
- формы и CTA работают на мобильных
- критичный путь проверен на телефоне
- основные CTA, формы, чекбоксы и элементы оплаты удобно нажимаются на мобильных устройствах
- определено, собирает ли проект ПДн
- есть политика ПДн или задача на ее создание
- есть согласия рядом с формами или задача на их добавление
- cookie / analytics проверены
- документы сайта перечислены
- РКН / 152-ФЗ вопросы вынесены в backlog
- финальный юридический review помечен как внешний шаг
- CI/CD workflow-файлы проверены на hardcoded secrets, опасные permissions и утечки env в logs
- если есть оплата, проверены webhooks
- заказ не считается оплаченным без подтверждения провайдера
- есть чек / фискализация или задача на проверку
- есть оферта / условия возврата или задача на создание
- возвраты описаны
- бухгалтерский / 54-ФЗ review помечен как внешний шаг

## 17. План исправлений

[SYSTEM INSTRUCTION: If the project is large, split the audit into 2-3 passes and start with the first pass. Do not attempt to complete the entire full audit in one uncontrolled response.]

Раздели на этапы:

1. Fix critical
2. Fix high
3. Tests
4. Security hardening
5. Supply-chain hardening
6. Monitoring/alerts
7. Documentation
8. Continuous self-security
9. Final verification

Для каждого этапа укажи:

- какие файлы менять
- какие риски
- какие тесты запускать
- нужен ли approval

Также:

- сформируй Audit Backlog
- раздели задачи по приоритетам
- укажи статус каждой задачи
- отдельно выведи Accepted risks
- предложи, что делать первым

## 17A. Формат выдачи

### Short report
- verdict
- blockers
- top risks
- commands
- next steps
- backlog

### Full report
- все разделы ниже в полном формате

## 18. Continuous self-security plan

- что проверять регулярно;
- как часто;
- кто отвечает;
- какие alerts есть;
- какие risks accepted;
- что вынесено в backlog.

В конце выведи:
- что сделано;
- что проверено;
- что не удалось проверить;
- что я мог упустить;
- какие баги найдены попутно;
- что исправлено попутно;
- что требует отдельного approval;
- какие follow-up задачи добавить в backlog.

После отчета спроси:

“Начать исправление критичных проблем по шагам?”

Начни исправлять только критичные проблемы из отчета.

Правила:

- Не трогай средние и мелкие проблемы.
- Не переписывай проект целиком.
- Делай маленькие изменения.
- Перед каждым блоком правок кратко скажи, что будешь менять.
- После каждого блока выведи отчет.
- Если изменение рискованное — остановись и попроси подтверждение.
- Если нужен новый пакет — сначала объясни зачем, проверь альтернативы, лицензию, поддержку и supply-chain риски.
- Если изменение затрагивает внешние repo/API/package, сначала проведи safe third-party intake и не давай таким интеграциям production secrets до approval.

Не ограничивайся только тем, что я явно написал. Если видишь важные риски, пропущенные проверки или смежные проблемы — выведи их отдельно в разделе “Что я мог упустить”.

После выполнения перепроверь свою работу: сравни результат с исходной задачей, проверь diff/измененные файлы, команды, риски, недостающие проверки и выведи self-review.

Если в процессе обнаружишь баги рядом с задачей: исправь только мелкие безопасные баги, если они прямо связаны с текущей областью; крупные или рискованные изменения не делай без approval — вынеси их в отчет и backlog.

После исправлений выведи:

- что исправлено
- какие файлы изменены
- какие тесты запущены
- какие тесты не удалось запустить и почему
- какие риски остались
- что нужно проверить вручную
- можно ли переходить к high/medium проблемам

Проведи повторную проверку после исправлений.

Проверь:

- исправлены ли критичные проблемы
- не появились ли новые баги
- не сломались ли связанные сценарии
- проходят ли тесты
- проходит ли build
- нет ли новых security risks
- нет ли новых self-protection / public exposure risks
- нет ли новых supply-chain risks
- нет ли новых database/load bottlenecks
- обновлены ли PROJECT_MAP.md и ARCHITECTURE.md
- обновлена ли документация
- есть ли понятный rollback plan
- выполнен ли Definition of Done

Выведи финальный отчет:

- что было исправлено
- что осталось
- что можно отложить
- можно ли мержить
- можно ли деплоить
- запускалось ли independent diff review
- какие findings были
- что исправлено
- что отклонено и почему
- какие validation commands прошли после исправлений
- остались ли risks/follow-up после independent review
- Short report: verdict, blockers, top risks, commands, next steps, backlog
- Full report: все разделы
- Readiness Score по зонам 0–5
- Continuous self-security plan
- что обязательно проверить руками