Commander ejecuta agentes autónomos sobre hardware que controlamos — y en el momento en que le das acceso shell a un agente, el suelo de seguridad deja de ser una casilla y se vuelve el producto. La Wave 1 del revamp de fundador aterrizó hoy: una bóveda de secretos cifrada, un log de auditoría append-only, y un clasificador de riesgo delante de cada llamada de herramienta. Todo desplegado, todo detrás de auth solo-fundador, todo en verde.
Los secretos por proyecto — API keys, tokens OAuth, credenciales de deploy — están cifrados en reposo con una clave maestra que nunca sale de la máquina. Listarlos devuelve solo nombres; los valores en crudo nunca son legibles a través de la API una vez guardados. El agente carga material descifrado en memoria de proceso solo en tiempo de ejecución, y la superficie privilegiada se monta detrás del mismo gate de autenticación que usan el resto de endpoints internos.
Cada evento relevante — acceso a la bóveda, invocación de herramienta, envío de plan, aprobación, denegación — escribe una línea en un anillo append-only por proyecto. El anillo es acotado pero nunca se sobreescribe in-place: la rotación corta un anillo nuevo y marca con timestamp el viejo. La idea no es teatro de cumplimiento. Es que cuando un agente hace algo sorprendente, puedes leer exactamente qué pasó, en orden, sin tener que confiar en que el agente te lo cuente.
Un agente autónomo sin log de auditoría es una caja negra que tocó tu producción. Eso no lo enviamos.
Cada llamada de herramienta se clasifica contra una taxonomía existente — read / write / network / shell / approval-required — y el bucle del agente se filtra en consecuencia. Las llamadas de solo lectura pasan directas. Cualquier cosa que mute estado del mundo real toca un gate de aprobación que la consola de fundador (y, eventualmente, el panel de cliente) puede contestar. El clasificador es datos, no código: añadir una herramienta nueva es una entrada nueva en la taxonomía, no una rama nueva.
Las tareas restantes de Wave 1 están encoladas — el handoff de cara a cliente hacia la superficie pública de Commander, el resto de los montajes de rutas privilegiadas, y el cambio del hostname interno actual a su objetivo bloqueado de operaciones. El lanzamiento público sigue dependiendo de los triggers de activación de la decisión de licensing de Commander; esto es trabajo de cimientos, no GA.