Metodologia de pentest para vibe coding

Entender stack, superficie real, dependencias e onde a IA entrou no ciclo.

• Mapear stack e componentes externos
• Identificar fluxos sensiveis e dados criticos
• Enumerar rotas publicas, privadas e operacionais
• Checar presença de regras de agente e integrações MCP

Encontrar padroes repetiveis de risco no codigo e na cadeia de dependencias.

• Rodar SAST e secrets scanning
• Revisar auth, injection e validacao
• Checar dependencias e pacotes suspeitos
• Inspecionar configuracoes inseguras no codigo

Confirmar explorabilidade real em runtime.

• Validar auth bypass, IDOR e rate limit
• Testar injection, upload e SSRF
• Inspecionar cookies, headers e fluxo de sessao
• Cobrir APIs ocultas e estados alternativos

Stress test dos componentes LLM, agentes, tools e contexto.

• Prompt injection direta e indireta
• System prompt leakage e data disclosure
• Excessive agency e misuse de tools
• Output handling e risco downstream

Traduzir achados em plano acionavel para time tecnico e lideranca.

• Priorizar quick wins
• Separar risco tecnico e impacto de negocio
• Indicar re-test claro
• Definir backlog de remediacao