Base de repertorio
Use esta biblioteca para acessar o material do proprio projeto, abrir trilhas externas realmente uteis e aprofundar AppSec, AI security e red teaming com fonte oficial.
Acervo do projeto
Aqui ficam os materiais locais que ja existem no repositorio e agora passam a ficar acessiveis diretamente no portal.
Panorama geral do dominio, cobrindo fundamentos de AppSec, OWASP para LLMs, metodologia e curadoria de ferramentas.
Para quem quer montar repertorio e entender o mapa geral do problema antes de executar.
Versao voltada para ferramentas, conferencias, laboratorios e especialistas com forte presenca no ecossistema americano.
Para quem quer aprofundar a trilha internacional de AI security, red teaming e tooling dos EUA.
Documento mais denso, com metricas, taxonomias de ataque, ferramentas ofensivas e defesa aplicada a sistemas gerados por IA.
Para quem quer basear auditoria, pesquisa ou construcao de ferramenta em referencias tecnicas mais profundas.
Arte vetorial do mapa de ataque para projetos vibe coding, util para estudos, slides, arquitetura e documentacao.
Para quem precisa reutilizar o material visual em apresentacoes, estudos internos ou novas ferramentas.
Trilhas operacionais
Estas entradas complementam o acervo local com repositórios e documentacoes oficiais que ajudam a executar checklist, comandos, testes em SQL, SMTP, SSH, LLM e supply chain de modelos.
Trilha para estruturar o teste do inicio ao relatorio, cobrindo reconhecimento, autenticacao, sessao, autorizacao, validacao de entrada, fluxo de negocio e evidencias.
Quando usar: Use antes de abrir scanner ou explorar endpoint solto. Serve para nao pular fase, nao esquecer validacao manual e manter cobertura em portal, API e app gerado por IA.
O que entrega: Um roteiro de execucao defensavel, com ordem de trabalho e pontos de verificacao que ajudam a transformar um teste improvisado em avaliacao repetivel.
Cuidado: Checklist nao substitui pensamento ofensivo. Em vibe coding, combine o roteiro com leitura de fluxo, diff, configuracao cloud, integrações e camada de IA.
Base rapida de payloads, bypasses e referencias praticas para acelerar enumeracao, validacao manual e reproducao de achados sem ficar preso a memoria.
Quando usar: Use durante a execucao, quando voce precisa testar variacoes de SQLi, SSTI, SSRF, path traversal, auth, headers ou outros vetores sem reinventar cada payload.
O que entrega: Um repertorio enorme de entradas ofensivas e atalhos de uso que reduz tempo de pesquisa e ajuda a ligar falha encontrada a tecnicas de exploracao conhecidas.
Cuidado: Nao copie payload em producao sem contexto. Ajuste para stack, encoding, proxy, WAF, parser e superficie real do alvo para evitar falso negativo ou ruido desnecessario.
Ferramenta classica para detectar e explorar SQL injection com mais profundidade do que um teste manual isolado, inclusive fingerprint, extracoes e validacao de impacto.
Quando usar: Use quando houver parametro suspeito em query string, body, cookie, header ou API e voce quiser confirmar SQLi, medir alcance e acelerar exploracao autorizada.
O que entrega: Automacao madura para deteccao, enumeracao de banco, captura de dados, identificacao de DBMS e aprofundamento controlado em superficies vulneraveis.
Cuidado: So rode com escopo e throttling definidos. Em app fragil gerado por IA, sqlmap mal configurado pode causar ruido, lock, latencia ou ate alteracao indevida se houver escrita.
Trilha para validar banner, relay, auth, TLS, enumeracao e comportamento transacional de servidores de email com foco em diagnostico e exploracao autorizada.
Quando usar: Use quando o projeto expuser servico SMTP proprio, integracao de envio, mail relay interno ou automacao sensivel a credenciais e fluxo de entrega.
O que entrega: Combinacao muito pratica de Swaks para simular conversas SMTP e Hydra para validar superficie de autenticacao, enumeracao e resistencia operacional do servico.
Cuidado: Teste com limite e combinacoes pequenas. Servicos de email costumam disparar bloqueio, reputacao, alerta e blacklist com facilidade quando o uso fica agressivo.
Trilha para auditar postura de SSH, ciphers, MACs, compatibilidade, banner e superficie de autenticacao antes de qualquer tentativa ofensiva mais ruidosa.
Quando usar: Use em servidores expostos, jump hosts, laboratorios ou pipelines onde a IA provisionou acesso remoto sem endurecimento suficiente ou com segredo reutilizado.
O que entrega: O ssh-audit ajuda a enxergar configuracao insegura e o Hydra cobre cenarios autorizados de validacao de autenticacao quando houver necessidade de medir exposicao.
Cuidado: Nao trate SSH apenas como brute force. O valor maior costuma estar em versao, algoritmo, politica de chaves, MFA ausente e reutilizacao de credencial em automacoes.
Conjunto de ferramentas para testar jailbreak, vazamento de dados, prompt injection, alinhamento fraco e falhas comportamentais em apps com modelos e agentes.
Quando usar: Use quando o produto consumir LLM, RAG, copiloto interno, workflow com ferramentas ou qualquer componente que tome decisao a partir de prompt e contexto externo.
O que entrega: Garak, PyRIT e Promptfoo cobrem desde probes em larga escala ate campanhas mais guiadas e integracao com pipeline para regredir seguranca de forma repetivel.
Cuidado: Esses testes so fazem sentido com objetivos claros. Sem cenario, politica e criterio de falha, o time acaba colecionando respostas curiosas em vez de achar risco real.
Camada de verificacao para modelos baixados de terceiros, com foco em serializacao maliciosa e artefatos que executam codigo no momento do load.
Quando usar: Use sempre que o projeto importar peso, checkpoint, pickle, safetensor ou modelo de hub publico para treino, ajuste fino ou inferencia local.
O que entrega: ModelScan adiciona uma defesa concreta de supply chain para IA, ajudando a reduzir o risco de aceitar artefato comprometido so porque a aplicacao funciona.
Cuidado: Modelo tambem e binario executavel em muitos fluxos. Nao trate checkpoint externo como dado neutro e nao pule verificacao so porque veio de fonte popular.
Framework de apoio para experimentos e automacao de pentest com LLM, util quando voce quer estudar fluxo agentico, planejamento e execucao assistida.
Quando usar: Use em laboratorio controlado, POC interna ou pesquisa de automacao ofensiva, especialmente para entender o que um agente consegue ou nao sustentar em multi-etapas.
O que entrega: PentestGPT oferece uma base conhecida para explorar planejamento, parsing de respostas, iteracao por tarefa e limites reais da automacao agentica em seguranca.
Cuidado: Nao venda isso como substituto do pentester. O ganho esta em triagem, apoio e experimentacao; sem revisao humana, o agente erra escopo, interpreta mal saida e insiste em falso caminho.
Curadoria externa
Esta selecao continua importante, mas agora aparece ao lado do acervo local do projeto em vez de substituir o que ja foi produzido aqui dentro.
Segue como ancora para classes de falha que reaparecem em apps gerados por IA: auth, sessao, injection e logica de negocio.
Abrir referenciaBase forte para mapear taticas adversariais em sistemas de IA e conectar red teaming com defesa estruturada.
Abrir referenciaFerramenta e playground de red teaming para LLMs citada repetidamente como base de avaliacao repetivel.
Abrir referenciaReferencia essencial para estruturar riscos especificos de apps com modelos, especialmente prompt injection e data disclosure.
Abrir referenciaConferencia recorrente nos guias para acompanhar maturidade de ataques e defesa em AI security nos EUA.
Abrir referenciaTrilha mais formal para transformar conhecimento de ataque em pratica consistente e operacionalizavel.
Abrir referencia