Pentest em Projetos "Vibe Coding"

O "Vibe Coding" (desenvolvimento guiado predominantemente por prompts e LLMs) acelerou a entrega, mas introduziu uma nova classe de vulnerabilidades. Códigos alucinados, pacotes fantasmas, lógica de negócios falha e excesso de privilégios são a nova norma. Este dossiê interativo fornece o arcabouço completo para auditar essas aplicações.

📊 O Novo Cenário de Ameaças

A seção abaixo contrasta as vulnerabilidades clássicas com as introduzidas pelo uso massivo de IA na geração de código. A análise indica que enquanto IAs evitam erros de sintaxe (como alguns buffer overflows simples), elas introduzem falhas lógicas profundas e problemas severos de cadeia de suprimentos (Supply Chain).

Frequência de Vulnerabilidades: Tradicional vs. Vibe Coding

IAs tendem a usar padrões inseguros (Insecure Defaults) e alucinar bibliotecas (Supply Chain), aumentando drasticamente esses vetores.

Distribuição de Esforço Recomendada no Pentest

Diferente de apps legados, o pentest em "vibe coding" exige auditoria profunda de dependências (SCA) e revisão de lógica de negócios, pois IAs conectam APIs sem validar permissões.

🛠️ O Arsenal do Vibe-Pentester

Ferramentas tradicionais geram muito falso-positivo em códigos de IA. Filtre abaixo o kit de ferramentas atualizado para atacar as camadas de código gerativo, infraestrutura como código (IaC) alucinada e cadeias de dependência.

📚 Base de Conhecimento e Bibliografia

O estudo aprofundado exige ir além de tutoriais rasos. Navegue pelas abas abaixo para acessar artigos acadêmicos, diretrizes da indústria, cursos recomendados e repositórios para prática.

OWASP Top 10 for Large Language Models (LLMs)

O documento fundacional absoluto. Cobre Prompt Injections, Insecure Output Handling, Training Data Poisoning e Vulnerabilidades em Plugins. Leitura obrigatória.
"Not What You've Signed Up For: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection"

Artigo científico aprofundado demonstrando como projetos de "vibe coding" que integram APIs externas sem sanitização são comprometidos por injeções indiretas. (Greshake et al.)
AI Packages Hallucination (Vulcan Cyber / Snyk Reports)

Estudos detalhados sobre como LLMs inventam nomes de pacotes NPM/PyPI durante o "vibe coding", permitindo que atacantes registrem esses pacotes vazios e executem Remote Code Execution (RCE) na máquina do dev ou pipeline CI/CD.
MITRE ATLAS (Adversarial Threat Landscape for AI Systems)

A versão do MITRE ATT&CK focada especificamente em TTPs (Tactics, Techniques, and Procedures) contra sistemas de IA e códigos gerados por eles.

Pentest em Projetos "Vibe Coding"

📊 O Novo Cenário de Ameaças

Frequência de Vulnerabilidades: Tradicional vs. Vibe Coding

Distribuição de Esforço Recomendada no Pentest

🛠️ O Arsenal do Vibe-Pentester

📚 Base de Conhecimento e Bibliografia

OWASP Top 10 for Large Language Models (LLMs)

"Not What You've Signed Up For: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection"

AI Packages Hallucination (Vulcan Cyber / Snyk Reports)

MITRE ATLAS (Adversarial Threat Landscape for AI Systems)

DeepLearning.AI: Red Teaming LLM Applications

PortSwigger Web Security Academy

Hacking AI Systems (Antisyphon Training)

Daniel Miessler

Sahar Avitan / Bar Lanyado

Equipe OWASP AI Exchange

OWASP/LLM-AI-Security-Guidance

leondz/garak

promptfoo/promptfoo

AI-Goat / LLM-Goat