Saltar a contenido

Uso responsable

Vex Raptor es una herramienta de seguridad ofensiva. Envía payloads de ataque reales a sus objetivos. Úsalo solo donde estés autorizado.

La autorización es obligatoria

Escanea únicamente sistemas que te pertenezcan o para los que tengas permiso escrito explícito. El escaneo no autorizado puede ser ilegal en tu jurisdicción y puede afectar al objetivo. Ante la duda, no escanees.

Antes de escanear

  • Confirma que tienes autorización escrita que cubre el alcance exacto.
  • Prefiere staging/pre-producción para profundidades agresivas (Full/AI).
  • Coordina con el propietario del objetivo el horario y el ritmo.
  • Entiende que los ataques activos pueden crear datos de prueba, disparar alertas o alterar el estado de la aplicación.

Salvaguardas integradas

  • Validación SSRF — cada petición saliente se comprueba; loopback, link-local, endpoints de metadatos de nube, rangos privados y bypasses de IP codificada se bloquean. El escaneo de rangos internos solo es posible cuando se habilita explícitamente en entornos no productivos.
  • Timeouts por fase y fail-soft — las fases tienen tiempo acotado y están aisladas, así que un scan no se desboca ni tumba la plataforma.
  • Agente tamper-proof — el agente impone un scope-lock duro en las peticiones salientes, aísla la salida no confiable del objetivo antes de que llegue al LLM, y reporta los intentos de prompt-injection de un objetivo hostil en lugar de obedecerlos.
  • Health gate — los objetivos que fallan el chequeo de salud previo saltan las fases activas.

Datos y privacidad

  • Los hallazgos e informes permanecen en tu base de datos (auto-alojado).
  • El enriquecimiento de terceros solo corre cuando configuras su clave de API.
  • Para máxima privacidad, corre air-gapped con un LLM local. Ver Soberanía.

Reportar un problema de seguridad en Vex Raptor

Si encuentras una vulnerabilidad en el propio Vex Raptor, repórtala por tu canal de soporte en lugar de publicarla.