Pentest para Apps de Vibecoding
Auditoria de segurança em produtos entregues com v0, Lovable, Bolt, Cursor, Claude Code, Replit e Supabase — antes do hacker fazer vibehacking.
Por que agora
A dor real
Você fez vibecoding. Hackers fazem vibehacking. service_role exposto no client, RLS desligada no Supabase, IDOR em rotas geradas por IA, secrets em variáveis públicas, auth frouxa. O código compila. O app abre. E está aberto pra qualquer um.
Regulação aplicável
/superficie-de-ataque
Vetores que testamos em vibecoding e apps gerados por ia
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
Supabase / Firebase / Convex
RLS desligada, policies frouxas, service_role no client, anonymous abuse e bypass de RLS via view.
Secrets em release
NEXT_PUBLIC com chave privada, JWT secret hardcoded, .env commitado, token em bundle.
Edge functions e webhooks
Validação de assinatura ausente, replay de webhook, prompt injection em handler LLM.
Auth e sessão
Provider mal configurado, magic link reutilizável, sem rate limit em login, JWT mal validado.
IDOR e autorização
Rotas geradas por IA sem checagem de ownership, endpoints REST adivinháveis, params confiados.
Storage e upload
Buckets públicos por default, sem validação de MIME, path traversal, URLs assinadas eternas.
Integração com LLM
Prompt injection, prompt leak, custo aberto, system prompt acessível, drain de chave OpenAI.
Custo e abuse
Sem rate limit em endpoint pago, DoS por LLM, abuse de cota gratuita.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Foco em startup early/mid stage e agências de no-code/low-code que shipam produto em dias com stack moderna.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/faq
FAQ — Vibecoding e Apps Gerados por IA
Relatório vem com prompt de correção?
Sim. Cada finding vem com PoC reproduzível + prompt pronto pra colar no Cursor/Claude Code que aplica a correção no padrão da stack que você usa.
Quanto tempo dura?
1-3 semanas dependendo da superfície. Um app v0 + Supabase + Stripe gira em 7-10 dias úteis com 1 pentester sênior.
/contato
Pronto para um pentest sério em vibecoding e apps gerados por ia?
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.