Pentest de um app totalmente codificado por vibrações: análise completa de segurança de um app gerado por IA

Um aplicativo web totalmente construído com Claude Opus 4.6 foi submetido a um pentest em modo grey-box utilizando credenciais padrão de usuário. Foram descobertas rapidamente falhas críticas, como uma LFI através de um parâmetro full_path não filtrado, que expôs o arquivo /etc/passwd e permitiu RCE. Além disso, um IDOR em /employee/{guid} possibilitou a extração de emails, funções e hashes de senhas de outros funcionários por meio da coleta de GUIDs em uma API pública de classificação. O front-end utilizou Vite 5.4.10, que possui três CVEs conhecidos. O código gerado por IA não implementou validações de entrada, controle de acesso rigoroso e verificações de dependência.