Pitch: Transformei o Claude em um Hacker đ”âđ«
Enquanto a comunidade inteira discute se IA vai substituir programador jĂșnior, eu estava ensinando o Claude Code a fazer pentest.
Não estou falando de pedir "me explica o que é SQL injection" num chat. Estou falando de um ambiente operacional completo, com reconhecimento automatizado, encadeamento de técnicas, agentes autÎnomos fazendo triagem de alvos, controle de OPSEC por perfil, e relatório gerado no final do engagement. Tudo rodando dentro do Claude Code, usando a mesma arquitetura de plugins que as pessoas usam pra formatar commit messages.
O nome do projeto é fsociety. E a parte mais interessante não é o que ele faz. à o que ele revela sobre o que jå estava ali o tempo todo, esperando alguém olhar direito.
O que acontece quando vocĂȘ leva a arquitetura de plugins a sĂ©rio
O Claude Code tem um sistema de plugins que a maioria das pessoas ignora. VocĂȘ pode definir comandos, skills que ativam automaticamente por contexto, agentes especializados, hooks que disparam scripts em momentos especĂficos do ciclo de vida. Tudo isso com arquivos markdown e scripts Node.js, sem nenhuma dependĂȘncia externa.
Essa arquitetura, que parece simples na superfĂcie, permite algo que nenhuma ferramenta de segurança tradicional oferece: um operador que entende linguagem natural, adapta sua abordagem ao contexto do alvo, e mantĂ©m estado entre as etapas de um engagement.
O fsociety Ă© um time de agentes (plugins), cada um cobrindo um domĂnio especĂfico de segurança ofensiva. Cinco e-candango, cada um autĂŽnomo, cada um com seus prĂłprios comandos, skills, agentes e scripts.
A parte que muda o jogo
Ferramentas de segurança tradicionais são boas no que fazem. Nmap escaneia. Burp intercepta. Metasploit explora. Cada uma opera no seu universo, com seu formato de output, sua interface, sua lógica.
O que nenhuma delas faz Ă© pensar sobre o que estĂĄ fazendo.
Quando o fsociety encontra uma vulnerabilidade durante uma enumeração, ele nĂŁo despeja um JSON e espera que vocĂȘ decida o prĂłximo passo. Ele sabe qual metodologia estĂĄ seguindo, em qual fase do engagement estĂĄ, quais tĂ©cnicas jĂĄ tentou contra aquele alvo. O skill de web assessment ativa automaticamente quando detecta que vocĂȘ estĂĄ olhando pra uma aplicação web. O agente de reconhecimento sai fazendo triagem sem que vocĂȘ peça. O sistema de campanha mantĂ©m tudo rastreĂĄvel e deduplicado.
Isso nĂŁo Ă© automação no sentido clĂĄssico. NĂŁo Ă© um script que roda uma sequĂȘncia fixa de comandos. Ă um operador que adapta sua abordagem em tempo real, que entende quando mudar de tĂ©cnica, que sabe quando escalar privilĂ©gios e quando recuar pra manter OPSEC.
Zero dependĂȘncias, por design
Uma decisĂŁo que parece excĂȘntrica mas Ă© deliberada: nenhum plugin tem package.json. Nenhum npm install. Cada script usa apenas os mĂłdulos nativos do Node.js. fs, path, crypto, child_process.
Em segurança ofensiva, cada dependĂȘncia Ă© superfĂcie de ataque. Cada pacote npm Ă© cĂłdigo de terceiro rodando na sua mĂĄquina de operaçÔes. A escolha por zero dependĂȘncias nĂŁo Ă© purismo tĂ©cnico. Ă OPSEC.
Os dados ficam em arquivos JSONL, append-only, deduplicados por SHA256. Estado de sessĂŁo em JSON. Tudo gitignored por padrĂŁo, porque dados de engagement nĂŁo vĂŁo pra repositĂłrio.
O que isso significa pra quem trabalha com segurança
Existe um gap enorme entre ter acesso a ferramentas de pentest e conduzir um engagement estruturado. Qualquer pessoa com Kali Linux instalado tem nmap, nikto, sqlmap na ponta dos dedos. O que falta Ă© a metodologia, o encadeamento das etapas, a documentação contĂnua, a capacidade de adaptar a abordagem quando as coisas nĂŁo saem como esperado.
O fsociety nĂŁo substitui essas ferramentas. Ele as orquestra. O Kali roda por baixo, o Hexstrike faz a ponte via MCP, e o Claude Code conduz. VocĂȘ continua precisando saber o que estĂĄ fazendo. A diferença Ă© que agora tem um operador incansĂĄvel ao seu lado, que nĂŁo esquece de documentar um finding, que nĂŁo pula uma etapa da metodologia porque ficou com preguiça Ă s 3 da manhĂŁ, e que consegue correlacionar informaçÔes de cinco fontes diferentes em tempo real.
O elefante na sala
Ninguém na Anthropic desenhou o Claude Code pensando em segurança ofensiva (mas muito curioso jå tentou alguma coisa né). O sistema de plugins existe pra produtividade de desenvolvedor. Os hooks existem pra linting e formatação. Os agentes existem pra ajudar a navegar codebases grandes.
Eu nĂŁo hackeei o Claude Code. Eu apenas usei o que jĂĄ estava lĂĄ.
Skills que ativam por contexto viraram metodologias ofensivas que se adaptam ao alvo. Agentes que navegam cĂłdigo viraram operadores que fazem triagem de superfĂcie de ataque. Hooks de ciclo de vida viraram gatilhos que atualizam trackers de vulnerabilidade e rotacionam identidade. O sistema de plugins, que foi pensado pra organizar comandos de desenvolvimento, virou uma arquitetura modular de pentest com isolamento entre domĂnios.
A pergunta desconfortĂĄvel nĂŁo Ă© se isso deveria existir. Ă por que ninguĂ©m fez antes. Cada ferramenta que vocĂȘ usa hoje carrega capacidades que o fabricante nunca imaginou. O gap entre "assistente de cĂłdigo" e "plataforma de segurança ofensiva" nĂŁo era tĂ©cnico. Era de imaginação.
NĂŁo recomendo ninguĂ©m a utilizar o fsociety, mas dĂȘem uma olhada tem bastante conceito legal sobre plugins lĂĄ.
Fé nas criança, fui.
P.S.: Sdds Cicada 3301