INICIO
Segurança para Vibecoders
O guia escrito por quem vive segurança e vive vibecoding — e sabe exatamente onde os dois colidem.
"Eu uso IA pra codar todos os dias. E todos os dias eu encontro vulnerabilidades no que ela gera. Este kit é tudo que eu gostaria que alguém tivesse me dado quando comecei."
Especialista em Segurança Cibernética e IA
Diego Terrani atua na linha de frente da segurança ofensiva e defensiva de plataformas de iGaming no Brasil. Em um setor regulado e sob constante ataque, ele gerencia operações de WAF e CDN com Akamai, administra firewalls FortiGate/FortiGuard, e lida com infraestrutura cloud na AWS, investigando fraudes e respondendo a incidentes.
Na frente de Inteligência Artificial, ele arquiteta sistemas multi-agente com Claude, projetando workflows de automação com agentes de código como Claude Code e Cursor. Sua especialidade é a interseção entre segurança e IA generativa: como os LLMs geram código vulnerável e como configurar agentes para produzir código seguro.
"Protejo plataformas contra ataques reais. Construo com IA. E todos os dias encontro as mesmas vulnerabilidades no código que ela gera."
O QUE VOCÊ VAI ENCONTRAR NESTE KIT
Um Kit Operacional Completo
Este não é apenas um ebook. É um kit operacional de segurança para vibecodders — um sistema completo de diagnóstico, correção e prevenção que funciona dentro do seu workflow de desenvolvimento com IA.
📘 Este Ebook (8 capítulos + Setup)
O guia completo de segurança para quem constrói com IA. Cobre desde o entendimento do problema (por que a IA gera código inseguro) até a correção prática de cada vulnerabilidade, passando por Supabase, autenticação, deploy seguro e como transformar a IA na sua aliada de segurança. Diferente de livros tradicionais de segurança, este ebook não te pede para copiar blocos de código. Ele te dá prompts de diagnóstico e correção que a IA executa adaptados ao seu projeto real. Você continua no seu workflow de vibecoding — a segurança é injetada no processo, não adicionada depois.
🤖 6 Arquivos Drop-In de Regras por IDE
Arquivos prontos para copiar na raiz do seu projeto. Cada um é otimizado para a ferramenta específica. Você cola o arquivo na raiz do projeto — uma vez — e toda IA que você usar passa a gerar código mais seguro automaticamente. Nenhuma configuração adicional.
O QUE VOCÊ VAI ENCONTRAR NESTE KIT
Prompts, Checklist e Entregáveis
🔍 25 Prompts Especializados de Segurança
Organizados em 5 categorias:
Cada prompt funciona em qualquer ferramenta: Cursor, Claude Code, Codex, Copilot Chat, Antigravity, JetBrains AI.
Checklist Pré-Deploy
Uma página. Frente e verso. Tudo que você precisa verificar antes de colocar seu SaaS em produção. Organizado por categoria: configuração da IDE, autenticação, proteção de dados, secrets, headers, rate limiting, dependências, infraestrutura e LGPD. Disponível em PDF (para imprimir e colar na parede) e como template Notion (para marcar interativamente).
Resumo dos Entregáveis
COMO USAR ESTE MATERIAL
Três Caminhos de Uso
Este kit foi desenhado para encaixar no seu workflow de vibecoding — não para interrompê-lo. Existem três formas de usar, dependendo da sua situação.
Caminho 1
"Tenho um projeto em produção e preciso blindar agora"
Caminho 2
"Estou começando um projeto novo e quero fazer certo desde o início"
Caminho 3
"Quero aprender segurança de verdade"
Caminho 1: "Tenho um projeto em produção e preciso blindar agora"
Se você já tem um SaaS rodando e quer corrigir as vulnerabilidades o mais rápido possível:
1
Comece pelo Setup (página XX)
Conecte sua IDE ao Supabase via MCP. São 5 minutos. Sem essa conexão, os prompts funcionam, mas com a conexão eles são 10x mais precisos.
2
Vá direto para o Capítulo 3
Rode o prompt de diagnóstico de cada uma das 10 vulnerabilidades. A IA vai analisar seu projeto e reportar o que está vulnerável. Você provavelmente vai encontrar entre 4 e 7 das 10.
3
Para cada vulnerabilidade encontrada, rode o prompt de correção
A IA aplica o fix adaptado ao seu código. Valide com o box "O que o resultado deve parecer".
4
Se usa Supabase, rode o Mega-Audit do Capítulo 4
Um único prompt que audita e corrige RLS, Storage, Functions e Edge Functions do seu banco inteiro.
5
Passe pelo Checklist Pré-Deploy
Garanta que nada ficou para trás. Tempo estimado: 2-4 horas com MCP, 4-6 horas sem MCP.
Caminho 2: "Estou começando um projeto novo e quero fazer certo desde o início"
Se você ainda não começou a codar — ou está nos primeiros dias:
Cole os arquivos drop-in na raiz do projeto
Escolha o arquivo da sua IDE (.cursorrules para Cursor, CLAUDE.md para Claude Code, etc.) e cole na raiz. A partir de agora, toda IA que gerar código no seu projeto vai seguir regras de segurança.
Leia os Capítulos 1 e 2
Entenda o problema antes de começar a construir. São 20 minutos de leitura que vão mudar a forma como você pensa sobre código gerado por IA.
Conecte o MCP do Supabase (Setup)
Faça isso antes de criar as primeiras tabelas.
Use os prompts de geração segura (Capítulo 3, seção 🟢)
Em vez de pedir à IA "crie um endpoint", use os prompts deste kit que já incluem autenticação, validação, ownership check e rate limiting.
Antes do deploy, rode o diagnóstico completo + checklist
Mesmo com prevenção, sempre valide. Tempo estimado: 30 minutos de setup + uso contínuo durante o desenvolvimento.
Caminho 3: "Quero aprender segurança de verdade"
Se você quer entender profundamente por que cada vulnerabilidade existe e como funciona:
Leia o ebook do início ao fim
Capítulos 1 e 2 dão o contexto. Capítulo 3 é o coração técnico. Capítulos 4 e 5 aprofundam Supabase e autenticação. Capítulos 6 e 7 cobrem deploy e workflow com IA. Capítulo 8 aponta os próximos passos.
Para cada vulnerabilidade do Capítulo 3, faça o exercício completo
Rode o diagnóstico no seu projeto → leia a explicação do risco → rode a correção → valide o resultado. Esse ciclo é o que transforma conhecimento teórico em habilidade prática.
Estude os arquivos drop-in
Leia as regras dos 6 arquivos de IDE. Entenda por que cada regra existe. Isso vai te dar uma base sólida de secure coding que vai além do vibecoding. Tempo estimado: 4-6 horas de leitura + prática.
DICAS PARA TODOS OS CAMINHOS
Como Usar os Prompts e Priorizar Correções
Ordem de Prioridade das Correções
🔴 Secrets expostos (3.1) — risco de exposição imediata de tudo
🔴 RLS desabilitado (3.6) — banco inteiro aberto
🔴 Auth quebrada (3.5) — sessões vulneráveis
🔴 IDOR (3.2) — dados de outros usuários acessíveis
🔴 SQL Injection (3.3) — manipulação do banco
🔴 Supply chain (3.10) — código malicioso nas dependências
Prioridade das Vulnerabilidades
Corrija nesta ordem para minimizar o risco ao seu projeto:
1
🔴 Alta Prioridade — Crítico
  • Secrets expostos (3.1) — risco de exposição imediata de tudo
  • RLS desabilitado (3.6) — banco inteiro aberto
  • Auth quebrada (3.5) — sessões vulneráveis
  • IDOR (3.2) — dados de outros usuários acessíveis
  • SQL Injection (3.3) — manipulação do banco
  • Supply chain (3.10) — código malicioso nas dependências
2
🟡 Média Prioridade — Importante
  • XSS (3.4) — execução de scripts
  • Mass assignment (3.7) — escalação de privilégio
  • Rate limiting (3.8) — abuso e brute force
  • Headers (3.9) — proteção de camada de rede
SOBRE ATUALIZAÇÃO DO KIT
Segurança Evolui. Você Também.
Segurança evolui. As ferramentas de IA mudam. Novos vetores de ataque aparecem. Se você comprou este kit, terá acesso a atualizações futuras. Você terá sempre acesso à atualização desse material.
32+
Itens no Kit
Ebook, arquivos drop-in, prompts e checklist
25
Prompts Especializados
Diagnóstico, correção, auditoria e geração segura
6
Arquivos Drop-In
Um para cada IDE principal do mercado
10
Vulnerabilidades Cobertas
As mais críticas para projetos SaaS com IA