O Promptbook substitui um pentest?

Não. Ele ajuda a encontrar sinais e organizar a revisão. Validação de impacto, cadeia de exploração e confirmação de correção ficam no Pentest Manual.

Por que o Pentest Manual não fica em checkout comum?

Porque escopo, autorização, ambiente e risco operacional precisam ser avaliados antes da proposta.

Antigravity 2.0, Gemini CLI e Google AI Studio: agente rápido precisa de fronteira

A velocidade saiu do editor e chegou no fluxo inteiro

Google Antigravity, Antigravity 2.0, Gemini CLI, Google AI Studio e Firebase Studio mostram a mesma direção: o agente não quer só completar uma função. Ele quer entender tarefa, editar projeto, chamar ferramenta, navegar contexto e levar a ideia para uma versão executável.

Para quem cria SaaS com IA, isso é poderoso. Também significa que o risco não mora mais só no arquivo alterado. Ele mora no conjunto de permissões que o agente recebeu para ler, escrever, executar, chamar API, mexer em ambiente e publicar.

A fronteira que precisa existir

Repositório de produção separado de playground e protótipo.
Secrets nunca expostos no chat, no prompt, em print ou em arquivo de exemplo.
Ferramentas do agente com menor permissão possível.
Comando destrutivo exigindo revisão humana.
Deploy com CI, teste e rollback antes de tráfego real.
Logs sem prompt, token, dado pessoal ou payload sensível.
Regras de banco e storage revisadas fora da interface gerada.

O erro comum em app criado com IA

O app nasce bonito, o fluxo parece funcionar e o founder publica. Depois aparecem os pontos difíceis: usuário A vê dado de usuário B, plano premium libera no frontend, webhook não valida assinatura, admin é só uma rota escondida, upload não checa dono, regra de Firestore ou Supabase aceita mais do que deveria.

Agente bom aumenta produção. Ele não substitui fronteira de segurança.

Google AI Studio e Firebase Studio entram no mesmo mapa

Quando a criação passa por protótipo, IA multimodal, backend gerado, autenticação e deploy assistido, a revisão precisa conectar tudo: modelo, prompt, rota, regra de dados, storage, plano pago, mobile e logs. Não adianta validar só a tela.

Como revisar sem travar criação

Use o agente para mapear o produto: quais rotas existem, quais dados cada rota lê, quais ações mudam dinheiro, quais endpoints recebem arquivo, quais ferramentas podem chamar rede e quais variáveis existem em runtime. Depois revise manualmente o que toca login, cobrança, dado de cliente e permissão.

Fontes usadas

Agente rápido é vantagem quando opera com fronteira. Sem fronteira, ele só entrega risco em menos tempo.

A velocidade saiu do editor e chegou no fluxo inteiro

A fronteira que precisa existir

Repositório de produção separado de playground e protótipo.
Secrets nunca expostos no chat, no prompt, em print ou em arquivo de exemplo.
Ferramentas do agente com menor permissão possível.
Comando destrutivo exigindo revisão humana.
Deploy com CI, teste e rollback antes de tráfego real.
Logs sem prompt, token, dado pessoal ou payload sensível.
Regras de banco e storage revisadas fora da interface gerada.

O erro comum em app criado com IA

Agente bom aumenta produção. Ele não substitui fronteira de segurança.

Google AI Studio e Firebase Studio entram no mesmo mapa

Como revisar sem travar criação

Fontes usadas

Agente rápido é vantagem quando opera com fronteira. Sem fronteira, ele só entrega risco em menos tempo.