Улучшил скилл оплаты

references/sbp_discovery.md

@@ -1,20 +1,46 @@
-# Технический алгоритм поиска платежных данных
+# Технический алгоритм извлечения платежных данных (SBP Discovery)
 
-Интерфейсы СБП могут быть реализованы по-разному. Ищи в следующем порядке:
+Этот протокол предназначен для поиска платежной ссылки СБП в условиях отсутствия у Исполнителя визуального канала (Vision). Твоя цель — найти строку, начинающуюся с `https://qr.nspk.ru/`.
 
-## Шаг 1: Поиск текстовой ссылки (Deep Search)
-1. Проверь атрибуты `href` всех кнопок и ссылок на странице после выбора СБП.
-2. Ищи паттерны: `qr.nspk.ru`, `pay.google`, `sbp.ru`, или внутренние редиректы банка.
-3. Если после нажатия "Оплатить через СБП" открывается новое окно — переключи контекст браузера на него и извлеки URL.
+## Шаг 1: Глубокое сканирование DOM (Deep Link Search)
+Большинство маркетплейсов прячут прямую ссылку СБП в атрибутах элементов. Прикажи `internet_browser` выполнить поиск по следующим паттернам:
 
-## Шаг 2: Поиск графического QR-кода
-Если ссылка недоступна в явном виде:
-1. Ищи элементы `<img>`, `<canvas>` или `<div>` с фоновым изображением, содержащие логотип СБП или характерный узор кода.
-2. **Метод захвата**:
-   - Используй `page.screenshot` с параметром `clip`, чтобы захватить именно область кода.
-   - Если область найти сложно, сделай скриншот центральной части страницы.
+1. **Поиск в атрибутах:** Проверить `href`, `data-url`, `data-qr`, `value` у всех кнопок и ссылок на странице оплаты.
+2. **Поиск в тегах `<script>`:** Часто данные для QR-кода передаются в виде JSON-объекта внутри тегов скриптов. Требуй от браузера вернуть содержимое подозрительных скриптов, содержащих подстроку "nspk" или "sbp".
+3. **Мобильные протоколы:** Ищи ссылки, начинающиеся с `intent://`, `air.ru.nspk.sbp` или `bank1000...`. Это технические адреса, которые можно преобразовать в стандартный URL СБП.
 
-## Шаг 3: Работа с Iframe
-Часто платежный шлюз открывается в iframe.
-1. Просканируй страницу на наличие фреймов.
-2. Если найден фрейм с доменом, отличным от маркетплейса (например, `sberbank.ru`, `tinkoff.ru`), переключись внутрь него для поиска QR-кода.
+## Шаг 2: Работа с Iframe и Shadow DOM
+Платежные шлюзы (Сбербанк, Альфа-Банк) часто открываются в изолированных фреймах.
+1. **Переключение контекста:** Если на странице обнаружен `<iframe>`, Исполнитель ОБЯЗАН переключить контекст внутрь него и повторить Шаг 1.
+2. **Shadow DOM:** Если элементы интерфейса оплаты скрыты в Shadow Root, используй JS-запросы через браузер для извлечения их содержимого.
+
+## Шаг 3: Программное декодирование (Fallback: Python OCR)
+Если в коде страницы нет прямой ссылки, но на экране отображается QR-код, мы используем "техническое зрение" через Python. 
+1. **Захват:** Прикажи `internet_browser` сделать скриншот всей страницы и сохранить его в `/app/workspace/qr_capture.png`.
+2. **Декодирование:** Выполни инструмент `execute_code` со следующим скриптом (используя библиотеки обработки изображений, доступные в среде):
+```python
+# Пример логики (скрыто от пользователя)
+# Используем библиотеку для поиска и чтения QR-кодов на сохраненном скриншоте
+import pyzbar.pyzbar as pyzbar
+from PIL import Image
+
+def decode_qr(image_path):
+    img = Image.open(image_path)
+    decoded = pyzbar.decode(img)
+    if decoded:
+        return decoded[0].data.decode('utf-8')
+    return None
+
+url = decode_qr('/app/workspace/qr_capture.png')
+print(f"FOUND_URL: {url}")
+```
+3. **Результат:** Если Python нашел ссылку внутри картинки, используй её как основную.
+
+## Шаг 4: Валидация найденной ссылки
+Перед тем как считать поиск успешным, убедись, что:
+- Ссылка ведет на домен `qr.nspk.ru` или официальный домен банка-эквайера.
+- Ссылка открывается (не является битой или пустой).
+- Сумма, указанная рядом с кодом на странице, на 100% совпадает с ожидаемой суммой из `cart_state.json`.
+
+---
+**ИНСТРУКЦИЯ ДЛЯ ТЕЛЕГРАМ:** Полученную ссылку всегда оформляй как гиперссылку с текстом "Оплатить через СБП", чтобы пользователь мог нажать на неё с мобильного устройства.

references/secure_gateway.md

@@ -1,12 +1,38 @@
-# Протокол предотвращения ошибочных транзакций
+# Протокол предотвращения ошибочных транзакций и архивации
 
-## 1. Защита от подмены ссылки (Anti-Phishing)
-- Проверяй домен платежной страницы. Допустимые домены: `*.ozon.ru`, `*.wildberries.ru`, `*.yandex.ru`, `*.nspk.ru`, `*.alfabank.ru`, `*.sberbank.ru`, `*.tinkoff.ru`, `*.vtb.ru`.
-- Если ссылка ведет на подозрительный домен (например, `ozon-pay.com`), немедленно закрой браузер.
+Данный протокол является высшим приоритетом при работе со страницей оплаты. Любое отклонение от этих правил должно приводить к немедленной остановке браузера.
 
-## 2. Защита от двойного списания
-- После отправки ссылки пользователю, не нажимай кнопку "Я оплатил" до получения явной команды в чате.
-- Если страница автоматически обновилась и просит оплатить снова — не делай этого без проверки статуса заказа в личном кабинете.
+## 1. Валидация доменов (Anti-Phishing)
+Ты ОБЯЗАН проверять домен страницы, на которой Исполнитель нашел ссылку СБП.
+- **Доверенные зоны:** `*.ozon.ru`, `*.wildberries.ru`, `*.yandex.ru`, `*.megamarket.ru`, `*.nspk.ru`, `*.sbp.ru`.
+- **Банковские шлюзы:** `*.sberbank.ru`, `*.alfabank.ru`, `*.tinkoff.ru`, `*.vtb.ru`, `*.yoomoney.ru`, `*.beeline.ru`.
+- **Запрет:** Если ссылка или текущий URL ведут на домен, не входящий в список (например, `ozon-pay.ru`, `wb-payment.com`), немедленно прекрати работу и сообщи о попытке фишинга.
 
-## 3. Контроль состава заказа
-- Убедись, что на странице оплаты не появились "дополнительные товары" (гарантии, подписки), которые могли быть добавлены в момент перехода к чекауту. При обнаружении — вернись в корзину и удали их (используя скилл shopper).
+## 2. Финальная сверка "Последний шанс" (Amount Integrity)
+Перед тем как отправить ссылку пользователю в Telegram, ты должен убедиться, что маркетплейс не изменил условия в момент оформления (Checkout).
+1. **Сверка суммы:** Считай сумму прямо с экрана оплаты (шлюза). Сравни её с `total_expected` из `/app/workspace/cart_state.json`.
+2. **Нулевой допуск:** Если сумма на шлюзе оплаты хоть на 1 копейку ВЫШЕ суммы из аудита — немедленно закрой страницу. 
+   *Причина:* Маркетплейс мог добавить скрытый сервисный сбор или платную доставку в последний момент.
+
+## 3. "Красная кнопка" (Hard Stops)
+Ты — Менеджер СБП. Ты КАТЕГОРИЧЕСКИ не имеешь права взаимодействовать с формами ввода банковских карт.
+- **Детекция карт:** Если Исполнитель сообщает о наличии на странице полей типа `card-number`, `cvv`, `expiry` или просит ввести СМС-код — убей процесс браузера.
+- **Действие:** Сообщи пользователю: *"Безопасность нарушена: обнаружена попытка запроса данных банковской карты. Транзакция заблокирована."*
+
+## 4. Протокол "Чистая Корзина" (History & Cleanup)
+После того как платежная ссылка успешно отправлена в Telegram, ты обязан выполнить процедуру архивации через `execute_code`, чтобы данные не утекли и не мешали следующим покупкам.
+
+**Сценарий для Python:**
+1. **Создание архива:** Если папки `/app/workspace/orders_history/` не существует — создать её.
+2. **Перенос:** Скопировать текущий `cart_state.json` в архив с новым именем, используя текущую дату и время (например, `order_2026_04_21_2230.json`).
+3. **Обнуление:** Перезаписать оригинальный файл `cart_state.json`, установив:
+   - `status`: "EMPTY"
+   - `items`: []
+   - `total_expected`: 0
+4. **Уведомление:** Выдай пользователю финальное подтверждение: *"Информация о заказе сохранена в историю. Ваша текущая корзина очищена."*
+
+## 5. Защита от повторных списаний
+После выдачи ссылки ты не должен предпринимать никаких действий на странице оплаты. 
+- Не нажимай кнопку "Я оплатил".
+- Не обновляй страницу.
+- Просто закрой сессию браузера через 2 минуты после отправки ссылки или сразу после команды пользователя.