Aggiornamenti post-incidente 31/05 (kill switch armato 6 giorni da un
singolo McpTimeoutError transitorio) e post-ripristino 05/06:
- 07: tabella trigger — documentato orchestrator._safe (qualsiasi
eccezione di tick → arm CRITICAL al primo errore) e la tolleranza
al lag benigno dell'anchor (647e3e5)
- 07: sezione Disarm — percorso raccomandato via coda manual_actions
a engine acceso; CLI solo a engine fermo (race CLI<->engine = gap
permanente nella hash chain)
- 07: nuova sezione "Limiti noti" — vincolo single-writer e i 7 gap
storici benigni del log di produzione (01/05 e 29/05); audit verify
full-chain fallisce alla riga 11 by design
- 06: nota in Flusso 5 — la tolleranza "3 fallimenti" vale solo per i
probe health, _safe arma al primo errore su ogni altro tick
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Adegua Cerbero Bite alla nuova versione 2.0.0 del server MCP unificato
(testnet/mainnet routing per token, header X-Bot-Tag obbligatorio) e
introduce due interruttori operativi indipendenti per separare la
raccolta dati dall'esecuzione di strategia.
Auth e collegamento MCP
- Token bearer letto dalla nuova variabile CERBERO_BITE_MCP_TOKEN; il
valore sceglie l'ambiente upstream (testnet vs mainnet) sul server.
Rimosso il caricamento da file (`secrets/core.token`,
CERBERO_BITE_CORE_TOKEN_FILE, Docker secret /run/secrets/core_token).
- Aggiunto header X-Bot-Tag (default `BOT__CERBERO_BITE`, override via
CERBERO_BITE_MCP_BOT_TAG) su ogni call MCP, con validazione lato client
(non vuoto, ≤ 64 caratteri).
- Cartella `secrets/` rimossa, `.gitignore` ripulito, Dockerfile e
docker-compose.yml aggiornati con env passthrough e fail-fast quando
manca il token.
Modalità operativa (RuntimeFlags)
- Nuovo modulo `config/runtime_flags.py` con `RuntimeFlags(
data_analysis_enabled, strategy_enabled)` e loader che parserizza
CERBERO_BITE_ENABLE_DATA_ANALYSIS e CERBERO_BITE_ENABLE_STRATEGY
(true/false/yes/no/on/off/enabled/disabled, case-insensitive).
- L'orchestratore espone i flag, audita e logga la modalità al boot
(`engine started: env=… data_analysis=… strategy=…`), e in
`install_scheduler` esclude i job `entry`/`monitor` quando strategy è
off e il job `market_snapshot` quando data analysis è off. I job di
infrastruttura (health, backup, manual_actions) restano sempre attivi.
- Default profile = "solo analisi dati" (data_analysis=true,
strategy=false), pensato per la finestra di soak post-deploy.
GUI saldi
- `gui/live_data.py::_fetch_deribit_currency` riconosce il campo soft
`error` nel payload V2 (HTTP 200 con `error` valorizzato dal server
quando l'auth Deribit fallisce) e lo propaga come `BalanceRow.error`,
evitando di mostrare un fuorviante equity = 0,00.
CLI
- Sostituita l'opzione `--token-file` con `--token` (stringa) sui comandi
start/dry-run/ping; il default proviene dall'env. Le chiamate al
builder dell'orchestrator passano anche `bot_tag` e `flags`.
Documentazione
- `docs/04-mcp-integration.md`: descrizione del nuovo flusso di auth V2
(token = ambiente, X-Bot-Tag nell'audit) e router unificati.
- `docs/06-operational-flow.md`: nuova sezione "Modalità operativa" con
i tre profili canonici e tabella di gating per ogni job; aggiunto
`market_snapshot` al cron summary.
- `docs/10-config-spec.md`: nuova sezione "Variabili d'ambiente"
tabellare con tutti gli env, comprese le bool dei flag operativi.
- `docs/02-architecture.md`: layout del repo aggiornato (`secrets/`
rimosso, `runtime_flags.py` aggiunto), descrizione di `config/`
estesa.
Test
- 5 nuovi test su `_fetch_deribit_currency` (soft-error, payload pulito,
eccezione, error blank, signature parity).
- 7 nuovi test su `load_runtime_flags` (default, override, parsing
truthy/falsy, blank fallback, valore invalido).
- 4 nuovi test su `HttpToolClient` (X-Bot-Tag default e custom, blank e
troppo lungo rifiutati).
- 3 nuovi test integration sull'orchestratore (gating dei job in base
ai flag).
- Test esistenti su token/CLI ping/orchestrator aggiornati al nuovo
schema. Suite intera: 404 passed, 1 skipped (sqlite3 CLI assente
sull'host di sviluppo).
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
* docs/11-gui-streamlit.md — replaces the original spec with what was
actually built: implementation status table, real page filenames
(1_Status, 2_Audit, 3_Equity, 4_History, 5_Position), per-page
inventory of implemented vs deferred sections, GUI ↔ engine table
showing arm_kill/disarm_kill via manual_actions and the
not_supported markers for force_close + approve/reject_proposal,
consumer signature with cron */1, lock model clarified (no GUI
lockfile), DoD updated with current state.
* docs/05-data-model.md — manual_actions is no longer "pianificata":
populated by gui/data_layer.py, drained by the manual_actions job;
per-kind status table (arm/disarm OK, others not_supported).
* docs/09-development-roadmap.md — Phase 4.5 marked implemented with
per-task ✅/⏳ markers for the deferred items (auto-refresh,
AppTest, force-close hook).
* docs/06-operational-flow.md — adds Flusso 5b describing the
manual_actions consumer pattern (enqueue → KillSwitch transition →
audit log linkage).
360/360 tests still pass.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
Each bot now manages its own notification + portfolio aggregation:
* TelegramClient calls the public Bot API directly via httpx, reading
CERBERO_BITE_TELEGRAM_BOT_TOKEN / CERBERO_BITE_TELEGRAM_CHAT_ID from
env. No credentials → silent disabled mode.
* PortfolioClient composes DeribitClient + HyperliquidClient + the new
MacroClient.get_asset_price/eur_usd_rate to expose equity (EUR) and
per-asset exposure as the bot's own slice (no cross-bot view).
* mcp-telegram and mcp-portfolio removed from MCP_SERVICES / McpEndpoints
and the cerbero-bite ping CLI; health_check no longer probes portfolio.
Docs (02/04/06/07) and docker-compose updated to reflect the new
architecture.
353/353 tests pass; ruff clean; mypy src clean.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>