intrus.io
Questo approfondimento di settore è attualmente disponibile solo in portoghese. La traduzione completa in italiano è in corso.
Ver em Português →
/servicos · Pentest LLM e IA

Pentest de LLM e Features de IA

Auditoria de feature com LLM — prompt injection, prompt leak, jailbreak, custo aberto, drain de chave, RAG poisoning, hallucination com impacto.

Cotar pentest LLMVedi vettori
90% manuale · 10% automatizzato
OSCP · CISSP · CRTO · GPEN
BR · PT · IT · ES · MA · US · AU
OWASP · MITRE · PTES · NIST

Perché ora

Il dolore reale

Empresa adicionou chatbot com Claude/GPT em produção em 2 semanas. Não testou prompt injection, system prompt leak, drain de chave, abuse via PII. RAG conectado a banco interno vaza dado privilegiado. OWASP LLM Top 10 é o novo OWASP API.

Framework applicabili

OWASP LLM Top 10 2025NIST AI Risk Management FrameworkEU AI Act (alto risco)LGPD (decisão automatizada art. 20)

/superficie-di-attacco

Pentest LLM e IA

Ogni ingaggio è progettato per il vostro ambiente. I punti seguenti fanno parte del nostro playbook standard per questo settore — lo scope finale è adattato al vostro stack e contratto.

01

Prompt injection (LLM01)

Direct e indirect injection, system prompt override, jailbreak via roleplay/encoding.

02

Prompt leak (LLM07)

Extração do system prompt, vazamento de regra de negócio, leak de exemplo few-shot.

03

Sensitive Information Disclosure (LLM06)

Vazamento de PII, dado de outro tenant, dado de treinamento via memorização.

04

Supply chain & model poisoning (LLM03/LLM05)

Modelo pinned, fine-tune malicioso, RAG corpus contaminado.

05

Excessive agency (LLM08)

Agente com tool de write privilegiado, sem confirmação humana, ação destrutiva.

06

Custo, abuse e DoS (LLM10)

Drain de chave OpenAI/Anthropic, abuse de cota gratuita, regex DoS via prompt.

/metodologia

Pentest manuale vero

Gli scanner automatici trovano ciò che è documentato. Gli attaccanti veri trovano ciò che non lo è. Il 90% del lavoro è manuale — eseguito da specialisti con OSCP, CISSP, CRTO e GPEN.

01 · Ricognizione

Mapping del target, OSINT, footprint, threat modeling specifico del settore.

02 · Scoperta

Enumerazione approfondita, scansione complementare, identificazione manuale dell'esposizione.

03 · Sfruttamento

Validazione manuale con PoC controllata, concatenamento di finding, escalation.

04 · Report

Esecutivo + tecnico, replica passo-passo, mappato alla regolamentazione applicabile.

/perche-fidarsi

Chi si è già fidato del nostro lavoro

Auditoria de features GenAI em SaaS B2B, fintech (KYC com vision LLM) e healthtech.

Caixa Econômica Federal
Banco BMG
iFood
ArcelorMittal
Multibanco
Polícia Federal
Fórmula 1
OpenFinance

Valutazione tecnica riconosciuta in ambienti regolamentati ad alta criticità — il pentest che trova ciò che nessuno aveva trovato prima.

DL

Douglas Lopes

Founder · CEO · intrus.io

/faq

FAQ — Pentest LLM e IA

Vocês cobrem agentes autônomos?

Sim. Agente com tools de write (banco, email, transação) é categoria mais perigosa. Auditamos confirmação humana, sandboxing, isolamento de tool.

Faixa de preço?

Feature LLM única (chatbot/assistant): R$ 12-30k. Plataforma com múltiplos LLMs e RAG: R$ 30-90k. Agente autônomo com tools: R$ 50-150k.

/contatti

Cotar pentest LLM

Fissa una riunione riservata. Entro 48h inviamo la proposta con scope, tempi e prezzo.

Parlaci oraVedi altri settori

Altri settori che copriamo

/pentest-mobile

Pentest Mobile

/pentest-api

Pentest de API

/red-team

Red Team

/pentest-cloud-aws

Pentest AWS

/pentest-cloud-gcp

Pentest Google Cloud

/pentest-cloud-azure

Pentest Microsoft Azure