Chaves expostas removidas e vetor de ataque blindado

Produto construído em ritmo de vibe coding, com IA generativa, mas sem fundação técnica. Ao crescer, expôs ao público bases de dados sem RLS e chaves sensíveis embutidas no JavaScript do navegador.

• Tabelas críticas acessíveis sem políticas de Row Level Security.
• Chaves de API e tokens vivendo no bundle do frontend.
• Time sem clareza do que era seguro ajustar e do que poderia derrubar produção.

• Diagnóstico em 30 dias com agentes de IA proprietários: varredura de codebase, segurança e arquitetura.
• Plano acionável priorizando o vetor de ataque mais provável, não o mais barulhento.
• Ambiente multiagente operacional entregue ao time, com guardrails de segurança.
• Acompanhamento como CTO fracionado, com 4 reuniões/mês — 2 presenciais e 2 online.

• Zero leak: nenhuma chave sensível restante no frontend.
• RLS configurado nas tabelas críticas, com testes de regressão automatizados.
• Ferramenta pronta para escalar com segurança, sem reescrever do zero.