Visão geral

App

Humano

Terminal · nuclei

RAG · iGreen

igreen-estudo.html

Connectionsv1

Cliente · análise ativa

iGreen Energy

Empresa de energia renovável com app mobile com.embarcadero.iGreenConnect v2.60.1 e portal autoconexão. Análise iniciada em 2026-04-30.

Análises

+1 esta semana

Achados

7 / 12

5 confirmados

Hosts vivos

3 com sourcemap

Credenciais expostas

via Discord · camada 11

Superfícies

recortes de exposição mapeados ao Codex

Web

Sites, painéis, web apps. Camadas 1+2.

0 análises

API

Backends, REST/GraphQL. Camada 3.

0 análises

App ativo

Mobile + desktop. APK/IPA decompilado.

igreen-estudo.html · 4 dias

Endpoint

Workstations, dispositivos, EDR.

fora de escopo

Infra

DNS, cloud, rede. Camadas 8+9.

recon DNS pendente

Humano crítico

OSINT, vazamento, supply chain humano.

discord · 18 credenciais

Atividade recente

nuclei finalizou em app.cliente.com

2 min atrás · 4 matches · ver saída

Achado crítico em humano: email corporativo de ex-funcionário ainda ativo

2h atrás · discord-credentials.html

RAG indexou 2 análises + Codex (07 mds)

ontem · LightRAG · 1.4k chunks

Cliente iGreen Energy criado

4 dias atrás

Ações rápidas

Conversas

Análise camada humano

5 msgs · 2 min

Endpoints do app v2.60.1

12 msgs · ontem

Resumo Codex pra novo cliente

3 msgs · 4 dias

Backend ativo

LightRAG · local

1.4k chunks · Codex + 2 análises

Análise camada humano

contexto · iGreen

Resume os achados da camada humano do iGreen e prioriza os 3 mais críticos.

Encontrei 18 mensagens com credencial explícita em discord-credentials.html. Os 3 mais críticos:

Email corporativo de ex-funcionário (victor.barbosa@igreenenergy.com.br) ainda referenciado em 2025-04 — verificar se acesso foi revogado.
Token Trello em URL pública de invite — board igreen-connect, ainda válido se não revogado.
Email pessoal cruzado com corporativo em mesmo handle Discord — vetor de phishing direcionado.

Fontes: discord-credentials.html:142-158 · igreen-estudo.html:38

Sugere comando pra validar se o email do ex-funcionário ainda autentica.

Atenção: enumerar usuários ativos pode estar fora do escopo. Verifica escopo.md antes. Se autorizado:

curl -sI https://app.cliente.com/api/auth/check?email=victor.barbosa@igreenenergy.com.br
# observar diferença de status entre email válido vs inválido
# 200 vs 404 = user enumeration confirmada

⌘ + ↵ envia Skills: recon · classificar-achado · +3

Tooling

12 ferramentas no catálogo · todas em containers Docker · zero instalação local.

nuclei

v3.2.4

pronto

Scanner de vulnerabilidades baseado em templates YAML.

webapicve

httpx

v1.6.7

pronto

Probe HTTP rápido em massa, fingerprint, status, tech.

webrecon

subfinder

v2.6.6

pronto

Enumera subdomínios via fontes passivas.

infrarecon

trufflehog

v3.85

pronto

Escaneia repos/filesystems em busca de credenciais.

humanosecrets

ffuf

v2.1

pronto

Fuzzer HTTP rápido, descoberta de paths/params.

webapi

jadx

v1.5

imagem desatualizada

Decompilador de APK Android pra fonte Java.

appandroid

firecrawl

cloud

Crawler em nuvem, JS-rendered. API.

webcrawl

cloudflare-recon

cloud

Recon via API Cloudflare, descoberta atrás de WAF.

infra

Adicionar tool

via plugin ou Docker image

v2 · planejado

Plugin runtime quickjs/wasm sandboxed adia pra v2. v1 usa skills/MCPs do Claude Code direto. Marketplace abaixo é preview do que virá.

Plugins v2

Estende dossie com tools, skills, comandos CLI, panels UI.

projectdiscovery-suite1.0.3ativo

Adiciona nuclei, httpx, subfinder, naabu, dnsx ao tooling.

secrets-suite0.7.1ativo

trufflehog, gitleaks, detect-secrets.

rag-lightrag2.0.0ativo

Backend RAG local com LightRAG.

cloud-providers1.4.2atualização disponível

Cloudflare, Hetzner, DigitalOcean, Tailscale, Firecrawl.

skills-recon-pack0.3desativado

Skills de recon: classificar-achado, sugerir-tool, escrever-evidencia.

v1 · control plane

Connections

Configure todos os adapters num só lugar. dossie spawna containers self-hosted, conecta CLIs locais, gerencia credenciais via vault. Anti-vendor-lockin por design.

LLM GatewayRoteamento de modelos

LiteLLM Proxy

localhost:4000

running

1 endpoint OpenAI-compatible, 100+ providers (Anthropic / OpenAI / OpenRouter / Ollama / Groq / Together / Bedrock / Mistral...).

claude-sonnet-4-6 claude-opus-4-7 gpt-4o llama3.1:70b +8

Claude Code CLI

/opt/homebrew/bin/claude

detected

Spawn via pty no tab Agente. cwd = cliente ativo. MCP server dossie auto-conecta.

Codex CLI

/opt/homebrew/bin/codex

detected

Alternativa OpenAI ao Claude Code. Mesma integração via pty + MCP.

Ollama (local)

localhost:11434

running

LLM local pra embeddings + fallback offline. 4 modelos baixados.

llama3.1:8b qwen2.5-coder:32b nomic-embed-text

RAG / VectorBusca semântica + memória

AnythingLLM

localhost:3001

running

RAG workspace · 1.4k chunks indexados.

Qdrant

embedded

running

Vector DB Rust single-binary, embedded no app.

Langfuse v2

observability

Tracing + cost tracking LLM em v2.

Proxy / HTTPInterceptação + replay

Caido

/Applications/Caido.app

detected

External GUI launcher + FS watcher (.caido files). v1.1: plugin Caido bidirecional.

Mitmproxy

localhost:8080

stopped

Alternativa OSS gratuita. Filter DSL nativo.

Burp Suite v2

external

Burp Pro com Bambdas integration em v2.

Crawl / CloudRecon + infra

Firecrawl

localhost:3002

Crawl JS-rendered self-host.

Cloudflare

api.cloudflare.com

linked

2 zones · DNS recon.

Tailscale

tailscaled

VPN · 3 nodes.

n8n v2

workflow

Workflow automation em v2.

SystemVault + MCP server

Vault local

~/.dossie/secrets · AES-256-GCM

unlocked

12 credenciais armazenadas. v1.1: integração Keychain/DPAPI/libsecret.

MCP server

127.0.0.1:54312 · TCP

listening

12 tools expostas pra Claude/Codex/plugins. Auth token rotacionável.

Contexto

iGreen Energy

Criado2026-04-30

Pastaclientes/igreen/

Tamanho56.8 KB

Políticaescopo.md

Escopo

App mobile

Web autoconexão

OSINT humano

Endpoints de funcionários

Infra de pagamento

Achados (7)

críticohumano

Email de ex-funcionário ativo

altoapp

Sourcemap exposto · AWS key

médioapp

.env.bak acessível

médiohumano

Token Trello em URL pública

RAG · contexto ativo

BackendLightRAG local

Chunks1.4k

Última indexaçãoontem 18:04

iGreen Energy

Superfícies

Web

API

App ativo

Endpoint

Infra

Humano crítico

Atividade recente

Ações rápidas

App

igreen-estudo.html

Humano

discord-credentials.html

Sugestões do RAG

iGreen Club

Cadastro de contas de teste

Próximos passos

Conversas

Análise camada humano

Tooling

Plugins v2

Connections

LLM GatewayRoteamento de modelos

RAG / VectorBusca semântica + memória

Proxy / HTTPInterceptação + replay

Crawl / CloudRecon + infra

SystemVault + MCP server

Web

API

Endpoint

Infra

Evidências

Cloud

Docker

Skills v2

iGreen Energy

Superfícies

Web

API

App ativo

Endpoint

Infra

Humano crítico

Atividade recente

Ações rápidas

App

igreen-estudo.html

Humano

discord-credentials.html

Sugestões do RAG

iGreen Club

Cadastro de contas de teste

Próximos passos

Conversas

Análise camada humano

Tooling

Plugins v2

Connections

LLM GatewayRoteamento de modelos

RAG / VectorBusca semântica + memória

Proxy / HTTPInterceptação + replay

Crawl / CloudRecon + infra

SystemVault + MCP server

Web

API

Endpoint

Infra

Evidências

Cloud

Docker

Skills v2

VPN

SMS receiver

Wallet

Cartão safe

Sessão

Última automação

Crawlers

Emuladores

Browsers headless

Browsers supersafe

Preview mobile

Preview web

Conta de luz mais barata, sem obras

Novo cliente

Rodar tool

Configurações

Aparência

Instalar plugin

Documentação