VS VibeSec Pentest para vibe coding

Explorer operacional

Arsenal por fase, risco e contexto

Selecione ferramentas por etapa do pentest, tipo de risco e profundidade de uso. Cada entrada resume quando usar, o que ela cobre e quais cuidados considerar.

Abertura rapida do alvo

Quando o objetivo e entender stack, rotas, segredos expostos e problemas repetiveis em poucas horas.

KatanaNucleiTruffleHogSemgrep

Validacao de explorabilidade

Fase para confirmar se os achados sobrevivem no runtime e atingem sessao, autorizacao e logica de negocio.

Burp SuiteSemgrepTrivy

Red teaming de IA

Combina probes repetiveis com suites de regressao e apoio tatico para cenarios de prompt injection e abuse.

GarakPromptfooPentestGPT

Agentes e MCP

Trilha voltada para tools, permissao, side effects e risco de cadeia de suprimentos em sistemas agenticos.

mcp-scanBurp SuiteGarak

10 ferramenta(s) exibida(s)

sast
codigo

Semgrep

SAST rapido e customizavel

E a melhor porta de entrada para achar injection, auth mal feita e defaults inseguros repetidos em codigo gerado por IA.

Forca: Entra cedo na triagem e ajuda a transformar hipoteses em fila inicial de revisao.

Atencao: Nao substitui leitura manual de auth, autorizacao contextual e cadeias de negocio.

rules customtriagem rapidaPR review
freeAbrir
secrets
codigo

TruffleHog

Segredos em codigo e historico git

Projetos vibe-coded frequentemente vazam credenciais de teste, chaves de API e tokens em commits antigos.

Forca: Excelente para cortar vazamentos obvios antes que eles virem incidente real.

Atencao: Combine com revisao de variaveis em CI, prompts salvos e ambientes de staging.

git historyrepo scansecret triage
freeAbrir
dast
runtime

Burp Suite

Teste manual de fluxos web e API

Continua sendo o centro operacional para validar auth bypass, IDOR, business logic e cadeias de ataque.

Forca: Onde a explorabilidade real aparece com clareza, especialmente em apps com fluxos improvisados por prompt.

Atencao: Precisa de roteiro de casos e cobertura de estados alternativos para nao virar navegacao superficial.

proxyrepeatermanual exploit
freemiumAbrir
dast
recon

Nuclei

Cobertura rapida por templates

Ajuda a abrir o ataque com velocidade e encontrar exposicoes obvias antes do trabalho manual fino.

Forca: Bom para primeira varredura de superficie e higiene basica do alvo.

Atencao: Resultados precisam de confirmacao para separar ruido de exploracao de verdade.

template scansurface sweepquick hits
freeAbrir
ai
llm

Garak

Red teaming de LLMs

Entrega probes repetiveis para prompt injection, jailbreak e vazamento de dados em componentes de IA.

Forca: Cria repetibilidade onde times costumam depender de testes artesanais demais.

Atencao: Vale complementar com cenarios de negocio e ataques adaptados ao produto.

probessafety evalregression suite
freeAbrir
ai
llm

Promptfoo

Suites de avaliacao e regressao de seguranca

E bom para transformar achados em teste continuo, especialmente quando o produto mistura app e agente.

Forca: Ajuda a consolidar cenarios em suites versionadas e comparaveis.

Atencao: O valor cresce quando os casos sao ligados a fluxos reais, nao so prompts isolados.

eval suitepolicy regressionprompt tests
freemiumAbrir
mcp
agentes

mcp-scan

Auditoria de servidores MCP

Ferramentas de agente mal descritas ou permissivas demais viraram uma nova camada de supply chain risk.

Forca: Foca exatamente na zona que costuma passar sem dono entre produto, infra e IA.

Atencao: Ainda precisa ser combinado com revisao de escopo, auth e side effects das tools.

tool auditpermission reviewMCP triage
freeAbrir
recon
recon

Katana

Crawling de SPAs e apps modernos

Ajuda a descobrir endpoints e fluxos escondidos em apps React e Next que o usuario final nunca ve.

Forca: Muito util para abrir rapidamente o mapa de rotas de apps modernos.

Atencao: Os melhores resultados aparecem quando voce cruza com manifests, bundles e chamadas XHR.

route discoveryendpoint mapSPA crawl
freeAbrir
cloud
plataforma

Trivy

SCA, container e IaC

Boa cobertura para stacks de deploy rapido onde o problema nao esta so no app, mas no pacote e na imagem.

Forca: Fecha o gap de plataforma que muita auditoria de portal esquece cedo demais.

Atencao: Precisa de criterio para priorizar CVEs e separar pacote irrelevante de componente critico.

SCAcontainer scanIaC review
freeAbrir
ai
llm

PentestGPT

Orquestracao assistida de fluxo ofensivo

Aparece nos guias como exemplo de uso de IA para acelerar raciocinio de pentest e consolidar proximos passos.

Forca: Bom como copiloto de operacao quando o analista ja controla escopo e criterio.

Atencao: Nao deve virar fonte unica de decisao nem substituir validacao humana dos achados.

workflow assistnotesattack planning
freeAbrir