O risco aparece antes do relatório
Founders que criam SaaS com Codex, Claude Code, Cursor e agentes parecidos conseguem lançar rápido. O problema é que velocidade também cria pontos cegos: login social, cobrança, upload, permissões, integrações e dados de cliente mudam toda semana.
A pergunta certa não é "já passei uma ferramenta?". A pergunta certa é: alguém validou o impacto disso no fluxo que sustenta receita?
Onde a triagem ajuda
O Promptbook serve para a primeira leitura. Ele organiza perguntas boas para o agente revisar rotas, regras de acesso, cobrança e tratamento de dados. O Watcher entra depois, acompanhando sinais e mudanças visíveis para o time não depender de memória.
Essa etapa é útil, mas tem limite. Ela aponta onde olhar. Ela não substitui autorização, escopo, teste controlado e evidência manual.
Quando subir para validação manual
A Risk Review faz sentido quando existe sinal recorrente ou dúvida de prioridade. O Pentest manual entra quando o risco toca cobrança, dados, acesso privilegiado ou confiança de cliente B2B.
- Mudança em login, plano pago ou permissões.
- Upload, webhook ou integração recebendo dados externos.
- Área administrativa, dashboard de cliente ou relatório sensível.
- Ajuste feito por IA sem revisão humana do fluxo completo.
O que a RET defende
Ferramenta automática é boa para atenção. Pentest manual é bom para decisão. O produto precisa separar os dois para não vender certeza indevida.
A RET usa triagem para reduzir ruído e pentest manual para validar impacto. Sem teatro, sem promessa absoluta e sem checkout público para escopo que precisa de autorização.
