O Promptbook substitui um pentest?

Não. Ele ajuda a encontrar sinais e organizar a revisão. Validação de impacto, cadeia de exploração e confirmação de correção ficam no Pentest Manual.

Por que o Pentest Manual não fica em checkout comum?

Porque escopo, autorização, ambiente e risco operacional precisam ser avaliados antes da proposta.

Codex, Claude Code, Copilot coding agent e GitHub Spark: agente no mobile e no CI

O agente saiu do prompt único

Codex, Claude Code e GitHub Copilot coding agent empurram a programação com IA para tarefas assíncronas, PRs, terminal, revisão e execução em ambiente controlado. Com mobile e CI no caminho, o agente deixa de ser só ajuda no editor e passa a participar da operação do produto.

Esse é o ponto que founders precisam entender: se o agente pode abrir PR, rodar comando, ler issue, alterar pipeline ou atuar no mobile, ele também pode carregar contexto não confiável para dentro de uma decisão técnica.

Riscos que ficaram mais prováveis

Issue maliciosa tentando instruir o agente a exfiltrar segredo.
README, documentação ou comentário influenciando mudança sensível.
PR automático que passa lint, mas quebra autorização.
CI com token amplo demais para tarefa simples.
Mobile aprovando mudança sem testar tela pequena, sessão expirada ou checkout.
Agente criando fallback inseguro para "fazer funcionar".
Revisão humana olhando diff, mas não o fluxo de negócio.

Claude Security não é atalho para relaxar

Security review assistido por IA ajuda a encontrar sinal. O limite é que segurança de SaaS não é só bug isolado. É regra de negócio, acesso pago, tenant, upload, logs, dados pessoais, cobrança, suporte e operação.

Use Claude Security, Codex, Copilot coding agent e ferramentas parecidas como apoio de leitura. A decisão final sobre risco de receita e dado de cliente precisa ser humana, escopada e testável.

GitHub Spark e app gerado rápido

GitHub Spark reduz a distância entre ideia e app. A revisão precisa acompanhar essa distância menor. Antes de mostrar para cliente, confirme autenticação, escopo de dados, storage, segredo, endpoint público, limite de ação e comportamento mobile.

Checklist de agente em CI/CD

Branch protection e revisão obrigatória em mudança sensível.
Segredo disponível só no job necessário.
Logs mascarados e sem payload de cliente.
Permissões por repositório e por ambiente.
Teste de rota protegida, webhook e mobile antes do deploy.
Rollback documentado para quebrar menos quando tráfego estiver rodando.

Fontes usadas

Agente no CI e no mobile muda a pergunta. Não é só "o código compila?". É "essa mudança preserva acesso, cobrança, dado e operação?".

O agente saiu do prompt único

Riscos que ficaram mais prováveis

Issue maliciosa tentando instruir o agente a exfiltrar segredo.
README, documentação ou comentário influenciando mudança sensível.
PR automático que passa lint, mas quebra autorização.
CI com token amplo demais para tarefa simples.
Mobile aprovando mudança sem testar tela pequena, sessão expirada ou checkout.
Agente criando fallback inseguro para "fazer funcionar".
Revisão humana olhando diff, mas não o fluxo de negócio.

Claude Security não é atalho para relaxar

Use Claude Security, Codex, Copilot coding agent e ferramentas parecidas como apoio de leitura. A decisão final sobre risco de receita e dado de cliente precisa ser humana, escopada e testável.

GitHub Spark e app gerado rápido

Checklist de agente em CI/CD

Branch protection e revisão obrigatória em mudança sensível.
Segredo disponível só no job necessário.
Logs mascarados e sem payload de cliente.
Permissões por repositório e por ambiente.
Teste de rota protegida, webhook e mobile antes do deploy.
Rollback documentado para quebrar menos quando tráfego estiver rodando.

Fontes usadas

Agente no CI e no mobile muda a pergunta. Não é só "o código compila?". É "essa mudança preserva acesso, cobrança, dado e operação?".