Skip to main content

O que este caso de uso cobre

O workflow Segurança Lovable conduz uma auditoria automatizada de segurança em aplicações web com backend Supabase. Foi criado especialmente para apps gerados no Lovable e Bolt — mas funciona em qualquer aplicação que use Supabase como backend, independente de como foi desenvolvida. O workflow verifica RLS, autenticação, isolamento de tenant, escrita anônima e exposição de dados, e classifica os findings com rigor para evitar falsos positivos.
Esta é uma análise automatizada por IA. Ela cobre os vetores mais comuns mas não substitui um pentest manual profissional. Para aplicações em produção com dados sensíveis, envolva um time de segurança.

Antes de começar: instalar o workflow

O workflow Segurança Lovable precisa estar instalado no seu workspace. Ele está disponível no Marketplace do G4 OS.
1

Abrir o Marketplace

Acesse o Marketplace pelo menu lateral do G4 OS ou pelo deep link abaixo.Abrir Marketplace
2

Buscar e instalar

Pesquise por “Segurança Lovable” e instale no seu workspace. Após a instalação, o workflow fica disponível como /seguranca-lovable em qualquer sessão.
3

Confirmar a instalação

Abra uma sessão nova e digite /seguranca-lovable — o G4 OS vai reconhecer o workflow e iniciar o fluxo de perguntas.

Abrir no G4 OS

Com o workflow instalado, use o deep link abaixo para iniciar uma auditoria. O G4 OS abre uma sessão no modo Execute e aciona o workflow automaticamente.

Iniciar auditoria de segurança no G4 OS

Abrir sessão com o workflow Segurança Lovable
O G4 OS vai perguntar:
  1. Qual a URL da sua aplicação?
  2. Que tipo de análise? — Rápida (Nível 1) ou Completa (Nível 2)

Níveis de análise

NívelO que fazTempoCréditos
Nível 1 — RápidaVerifica se dados estão expostos via API públicaMinutosBaixo
Nível 2 — CompletaTudo do Nível 1 + cria conta real e testa como usuário malicioso15–30 minMédio
Se não souber qual escolher: vá de Nível 1. O Nível 2 é recomendado para validar isolamento entre usuários.

O que o workflow verifica

Nível 1 — API:
  • Supabase URL e anon key extraídos do JavaScript público
  • service_role key exposta no frontend (crítico imediato se encontrada)
  • Enumeração de tabelas via schema OpenAPI
  • Leitura anônima de dados sensíveis por tabela
  • Escrita anônima sem autenticação
  • Endpoints e mecanismo de login
Nível 2 — Usuário real (adicional ao Nível 1):
  • Criação de conta real via browser
  • Acesso cruzado entre contas (tenant isolation)
  • Tentativa de leitura e escrita de dados de outros usuários
  • Escalada de privilégios via manipulação de JWT

Como os findings são classificados

ÍconeClassificaçãoCritério
🔴ConfirmadoDados sensíveis reais vazaram ou escrita não autorizada funcionou
🟡Precisa clarificaçãoPode ser problema ou comportamento esperado — o workflow pergunta antes de classificar
ProtegidoTestado e funcionando como esperado
Schema OpenAPI exposto e anon key pública são comportamento padrão do Supabase — não são findings. O workflow não os reporta como vulnerabilidades.

Exemplo de output

Relatório de pentest — Score de Segurança CRÍTICO Exemplo real de relatório gerado pelo workflow: score de segurança, findings classificados (🔴 confirmado, 🟡 atenção, ✅ protegido) com evidências e recomendações de correção. O workflow entrega um relatório estruturado com:
  • score de segurança geral por severidade
  • findings confirmados com evidência concreta
  • items que precisam de clarificação com contexto
  • lista do que está protegido e funcionando
  • recomendações de correção priorizadas

Veja também