Como corrigir vulnerabilidades com a Factory AI e o Snyk Studio

Programar com os Droids da Factory AI é muito fácil. É um programa coeso, simples e divertido. É como se você estivesse jogando um game. Podemos sentir o compromisso com esse ideal não apenas na IU, mas também nas parcerias: uma das integrações importantes é com a Linear (a concorrente mais jovem da Jira, famosa por animações UX via web app reativo e atalhos de teclado). Se ferramentas como Claude Code, OpenAI Codex e Gemini CLI são um documento Word offline, a oferta da Factory AI é um Google Drive online criado desde o início pensando em equipes colaborativas. 

A jornada do desenvolvedor inclui um tutorial bem elaborado no site, que funciona como um guia passo a passo para:

1. Baixar a CLI do Factory 

2. Adicionar a Droid IDE Extension ao VS-Code de seu fork escolhido (ou seja, Cursor ou WindSurf)

3. Atribuir a primeira tarefa ao seu Droid (Agentes de IA especializados da Factory AI) no navegador ou no IDE.

Se você estiver no Linux, pode instalar a CLI do Factory assim:

curl -fsSL https://app.factory.ai/cli | sh

A extensão do VSCode está disponível aqui. Uma vez instalado, você pode usar `Ctrl-Shift-P` para abrir a Command Palette e selecionar Run Factory Droid.

O que há no Droid?

A Factory AI oferece agentes de IA especializados para várias tarefas comuns de desenvolvimento de software. Eles são chamados de Droids. 

• Code Droid:vá da ideia para as mudanças de código prontas para mesclagem. Escreva novos recursos ou componentes com requisitos claros, alavancando a capacidade do Code Droid de entender sua base de código e implemente funcionalidades que sigam os padrões e as boas práticas do seu projeto. Melhore o código existente identificando padrões complexos ou ineficazes e transforme-os em soluções mais limpas e passíveis de manutenção, sem deixar de preservar a funcionalidade e melhorar o desempenho. Analise logs de erros, identifique causas e desenvolva correções de falhas da sua base de código. Crie testes de unidade abrangentes para garantir a confiabilidade do código e evitar regressões em seus aplicativos.

• Knowledge Droid:pesquisa de engenharia, documentação técnica e guias de integração. Gere documentação abrangente para sua base de código, incluindo referências de API, visões gerais de arquiteturas e relações entre componentes para melhorar a compreensão e a integração da equipe. Tenha explicações claras de sistemas complexos, decisões arquitetônicas e detalhes de implementação em seus projetos para ajudar os membros da equipe a compreender a interação entre diferentes componentes. Encontre e extraia informações específicas rapidamente da base de códigos e da documentação, usando menos tempo para procurar dados de implementação ou compreender recursos específicos.

• Reliability Droid:investigue incidentes, escreva RCAs e depure sistemas multifuncionais complexos. Analise incidentes de produção examinando logs de erros, métricas e o comportamento do sistema para identificar rapidamente padrões e possíveis causas de interrupção ou degradação do desempenho. Crie documentos abrangentes para a análise de causas, incluindo cronograma, avaliação de impacto, identificação de causas e medidas preventivas para compartilhar com stakeholders. Desenvolva mecanismos robustos de tratamento de erros, incluindo disjuntores, lógica de repetição e padrões de degradação gradual para melhorar a resiliência do sistema e evitar falhas em cascata.

• Product Droid:planeje recursos, crie PRDs e gerencia seus projetos. Gere Documentos de Requisitos do Produto com visões gerais de recursos, histórias de usuários, critérios de aceitação, considerações técnicas e fases de implementação para novos recursos de produtos. Crie histórias de usuário completas, com critérios de aceitação detalhados para diferentes tipos de usuários e cenários, ajudando as equipes de desenvolvimento a compreender os requisitos dos recursos da perspectiva do usuário. Analise solicitações de recursos e desenvolva estruturas de priorização com avaliações de impacto e esforço para ajudar as equipes de produtos a tomar decisões informadas sobre a ordem de implementação.

Essa abordagem contemporânea aos agentes de IA, para oferecer uma biblioteca de agentes pré-criados e especializados, permite que o usuário aproveite ao máximo as janelas de contexto limitado de seus LLMs. Embora o agente singular oferecido por ferramentas como Claude Code, OpenAI Codex e Gemini “possam” ser aplicados com versatilidade a várias tarefas semelhantes, a Factory AI trabalhou para oferecer aos desenvolvedores um agente que possa fazer isso com gerenciamento especializado de seu contexto para o propósito específico. Isso sem falar no Droid de propósito geral que também é incluído na biblioteca, o qual você pode usar para qualquer finalidade não abrangida pelo conjunto de Droids especialmente preparado. 

Felizmente, a Factory AI não limita você a um único fornecedor de LLM. Os fornecedores mais conhecidos estão prontamente disponíveis (ver abaixo). E para LLMs com variantes exclusivas para coisas como raciocínio, você pode fazer sua escolha na mesma caixa de diálogo da IU.

Suporte para MCP

Semelhante a outras CLIs de agentes de IA, a CLI do Droid oferece suporte extraordinário para Model Context Protocol (MCP). É muito fácil adicionar o seu servidor MCP favorito:

        █████████    █████████     ████████    ███   █████████
        ███    ███   ███    ███   ███    ███   ███   ███    ███
        ███    ███   ███    ███   ███    ███   ███   ███    ███
        ███    ███   █████████    ███    ███   ███   ███    ███
        ███    ███   ███    ███   ███    ███   ███   ███    ███
        ███    ███   ███    ███   ███    ███   ███   ███    ███
        █████████    ███    ███    ████████    ███   █████████

                                v0.19.9

   You are standing in an open terminal. An AI awaits your commands.

     ENTER to send • \ + ENTER for a new line • @ to mention files

    Current folder: /home/owler/Documents/Snyk/snyk-mcp-demos/pygoat

 Auto (Low) - edits and read-only commands  shift+tab cycles  Sonnet 4
╭─────────────────────────────────────────────────────────────────────╮
│ > Try "Search the documentation for this library"                   │
╰─────────────────────────────────────────────────────────────────────╯
 ? for help                                              IDE ◌ | MCP ✓

●  Usage: mcp add [options] <name> <command>

   Add a new MCP server to the configuration

   Arguments:
     name                      Server name
     command                   Command to start the server

   Options:
     -e, --env <key=value...>  Environment variables (can be used multiple
   times)
     --transport <type>        Transport type (defaults to "stdio") (default:
   "stdio")
     -h, --help                display help for command

 shift+tab to cycle modes                                                Sonnet 4
╭────────────────────────────────────────────────────────────────────────────────╮
│ > /mcp add -h                                                                  │
╰────────────────────────────────────────────────────────────────────────────────╯
 ? for help                                                                 IDE ◌

Por exemplo, o Servidor MCP Snyk oficial pode ser adicionado da CLI do Droid, se já estiver instalado na sua máquina:

/mcp add SNYK "snyk mcp -t stdio"
●  Starting MCP server "SNYK"...
     Command: snyk
     Args: ["mcp","-t","stdio"]
     Environment variables: none

Mas o que podemos fazer com ele? Qual seria a vantagem de estender as ferramentas disponíveis para um Droid já capacitado? O suporte para a execução de comandos de shell, leitura, gravação e edição de arquivos já se encontra incorporado. 

Utilização de agentes de IA (Droids) para corrigir automaticamente vulnerabilidades

Para este exemplo, clonei o repositório pyGoatadeyosemanputra do OWASP Project Leader. Este projeto deliberadamente inclui uma série de vulnerabilidades bem documentadas para fins educativos. Veja algumas vulnerabilidades destacadas pela extensão IDE da Snyk:

Também podemos pedir ao Droid para usar o servidor MCP para listar algumas daquelas mesmas vulnerabilidades. Veja:

>  Please run a code scan on the codebase with Snyk.

⛬  I'll help you run a Snyk code scan on the pygoat codebase. Let me first check the
   authentication status and then perform the scan.

 PLAN   Updated: 3 total (2 pending, 1 in progress, 0 completed)

 ○ Check Snyk authentication status
 ○ Run Snyk code scan on pygoat codebase
 ○ Review and report scan results

 [MCP] SNYK:SNYK_AUTH_STATUS 
 ↳stephen.thoemmes

⛬  Great! You're authenticated as stephen.thoemmes. Now I'll run the Snyk code scan on
    the pygoat codebase to identify security vulnerabilities.

 PLAN   Updated: 3 total (1 pending, 1 in progress, 1 completed)

 ○ Check Snyk authentication status
 ○ Run Snyk code scan on pygoat codebase
 ○ Review and report scan results

 [MCP] SNYK:SNYK_CODE_SCAN  (/home/owler/Documents/Snyk/factory/pygoat)
 ↳
 Testing /home/owler/Documents/Snyk/factory/pygoat ...

  ✗ [Low] Use of Hardcoded Credentials 
    Path: introduction/playground/A9/api.py, line 17 
    Info: Do not hardcode credentials in code. Found hardcoded credential used in a 
 condition.

…

  ✗ [High] SQL Injection 
    Path: introduction/views.py, line 871 
    Info: Unsanitized input from an HTTP parameter flows into 
 introduction.models.sql_lab_table.objects.raw, where it is used in an SQL query. This 
 may result in an SQL Injection vulnerability.

…

 ✔ Test completed

 Organization:      stephen.thoemmes
 Test type:         Static code analysis
 Project path:      /home/owler/Documents/Snyk/factory/pygoat

 Summary:

   101 Code issues found
   15 [High]   44 [Medium]   42 [Low] 

 PLAN   Updated: 3 total (0 pending, 0 in progress, 3 completed)

 ○ Check Snyk authentication status
 ○ Run Snyk code scan on pygoat codebase
 ○ Review and report scan results

⛬  The Snyk code scan has completed successfully! Here's a summary of the security
   findings:

   Scan Results Summary

   Total Issues Found: 101
   •  15 High severity vulnerabilities
   •  44 Medium severity vulnerabilities
   •  42 Low severity vulnerabilities

   Key High-Severity Issues Found:
   1. SQL Injection - Multiple instances in views.py
   2. Code Injection - eval() usage with unsanitized input
   3. Command Injection - subprocess.Popen with unsanitized input
   4. Path Traversal - File operations with unsanitized paths
   5. XML External Entity (XXE) Injection - Insecure XML parsing
   6. Deserialization vulnerabilities - pickle.loads and yaml.load with untrusted data
   7. Hardcoded cryptographic keys - JWT keys hardcoded in source
   8. Hardcoded secrets - Non-cryptographic secrets in code

   Medium/Low Severity Issues:
   •  Hardcoded passwords and credentials
   •  CSRF protection disabled on multiple endpoints
   •  Insecure cookie configurations (missing HttpOnly/Secure flags)
   •  Weak hashing algorithms (MD5)
   •  Debug mode enabled in production
   •  SSRF vulnerabilities

   This is a comprehensive security assessment showing that pygoat (being a
   deliberately vulnerable application for educational purposes) contains numerous
   intentional security flaws across all severity levels, making it an excellent
   training platform for learning about web application security vulnerabilities.

Demonstramos aqui o potencial para um novo paradigma em fluxos de trabalho de DevSecOps. A segurança deixa de ser uma questão separada e frequentemente atrasada e passa a integrar a detecção de vulnerabilidades e a remediação diretamente no processo de desenvolvimento. A combinação de agentes especializados da Factory AI e servidores MCP como o do Snyk significa que problemas de segurança podem ser identificados e facilmente corrigidos e ter sua correção reverificada, tudo dentro da mesma interface onde os desenvolvedores já estão trabalhando.

Próximos passos com a Factory AI e o Snyk Studio

À medida que cresce a adoção do MCP e mais ferramentas de segurança desenvolvem servidores MCP, podemos imaginar Droids que, além de corrigir vulnerabilidades, também geram testes de segurança, atualizam a documentação para refletir as correções de segurança e até criam chamados para a correção manual de problemas complexos. A natureza modular do sistema Droid da Factory e do protocolo MCP significa que esses recursos podem evoluir separadamente, mas permanecem interoperáveis.

Para equipes que procuram implementar fluxos de trabalho semelhantes, a configuração é simples: instalar a CLI da Factory, adicionar os servidores MCP escolhidos e iniciar a correção de vulnerabilidades para inspirar confiança no processo de correção automática. O importante é tratar os agentes de IA como multiplicadores de força para a sua equipe de segurança, e não como substitutos. Eles são ótimos para cuidar de correções de rotina bem conhecidas, enquanto os humanos se concentram em novos desafios de segurança que exigem criatividade na solução dos problemas.

Quer aprender mais sobre a proteção do ecossistema do servidor MCP? Baixe nosso eBook hoje mesmo.