What is Agent-as-a-Service pentesting?

Agent-as-a-Service (AaaS) pentesting lets you chat with autonomous pentesting agents that scan your application on demand. Instead of waiting weeks for a manual engagement, you talk to specialized agents — pen-scout (recon and surface mapping), pen-recon (deeper enumeration), pen-triage (validates and prioritizes findings), pen-fixer (remediation guidance), and pen-compliance (OWASP/standards mapping). Findings are validated with proof-of-concept and re-test, not just flagged. You start with 150 free credits, no credit card.

What are credits and how do they work?

Credits are how you run agent scans. Each scan or agent action consumes credits based on its depth. New accounts get 150 free credits with no card required. After that you can buy one-time credit packs ($29, $79, or $199) for pay-as-you-go use, or subscribe to a monthly tier ($49, $149, or $399/mo) for continuous, on-demand pentesting. The agents pen-scout, pen-recon, pen-triage, pen-fixer and pen-compliance all draw from the same credit balance.

Yes. Every new account gets 150 free credits with no credit card required — enough to chat with the pentesting agents and run real scans against your app. There is also a free security headers scan at sable.somoswilab.com/free-scan and a sample report at sable.somoswilab.com/sample-report. The free tier runs on OpenRouter models so you can evaluate the autonomous agents before paying.

What is penetration testing for startups?

Penetration testing (pentesting) is a simulated cyberattack against your application to find security vulnerabilities before real attackers do. For startups, we focus on the issues that matter most at your stage: authentication flaws, data exposure, API security, and common mistakes in modern stacks like Next.js, Supabase, and Firebase.

How much does a pentest cost?

Traditional pentests cost $10,000-$50,000+. SableOffensive starts at $29 for a Pre-Launch Check covering OWASP Top 10 and secrets detection. Founder Shield ($79) adds IDOR testing, auth bypass, and a debrief call. Scale Secure ($199) is a full-scope assessment. Every plan includes a professional report with remediation steps.

How long does a security scan take?

Pre-Launch Check reports are delivered within 24-48 hours. Founder Shield and Scale Secure may take 2-3 business days depending on the complexity of your application.

What do I need to provide?

At minimum, just your application URL. For more comprehensive testing, we may ask for staging credentials, API documentation, or GitHub repository access. We sign NDAs for all engagements.

What is OWASP Top 10?

OWASP Top 10 is the industry standard list of the most critical web application security risks. It includes injection attacks, broken authentication, cross-site scripting (XSS), server-side request forgery (SSRF), and security misconfigurations. Every SableOffensive assessment tests against the full OWASP Top 10.

Do you test AI-generated code?

Yes. Code generated by AI tools like Cursor, GitHub Copilot, and v0 often contains subtle security issues: hardcoded secrets, missing input validation, insecure API patterns, and overly permissive access controls. We have specific testing procedures for AI-generated codebases.

How do you secure Supabase and Firebase apps?

For Supabase, we audit Row Level Security (RLS) policies, test for direct table access, and check for exposed service keys. For Firebase, we review security rules, test Firestore/RTDB access patterns, and check Cloud Functions for vulnerabilities.

What if you find zero vulnerabilities?

50% money back guarantee. If our scan finds zero security issues, you get half your money back.

Is there a free pentesting option?

Yes. SableOffensive offers a free security headers scan at sable.somoswilab.com/free-scan. It instantly checks your website for 8 critical security headers (HSTS, CSP, X-Frame-Options, and more) and gives you an A-F grade with copy-paste fixes. No signup or payment required.

Can I get a free vulnerability scan?

Our free security headers check scans your website instantly and grades your security posture. For a deeper free assessment, contact us — we occasionally offer complimentary scans for early-stage startups and open source projects.

Dos Zero-Days en Chrome con Exploits Activos: Actualiza Ahora

Actualiza Chrome Ahora — En Serio, Cierra Este Artículo Después

Google lanzó una actualización de emergencia para Chrome 146 que corrige dos vulnerabilidades zero-day con exploits activos en la vida real. Si usas Chrome — y hay 3,500 millones de personas que sí lo hacen — este es el tipo de parche que no puedes posponer hasta el fin de semana.

Las dos vulnerabilidades, CVE-2026-3909 y CVE-2026-3910, afectan componentes críticos del navegador: la biblioteca gráfica Skia y el motor JavaScript V8. Ambas tienen un CVSS de 8.8 (alto) y Google confirmó explícitamente que "hay exploits activos para ambas vulnerabilidades".

Traducción directa: alguien ya está usando estos fallos para atacar usuarios reales en este momento.

Qué Son Estas Vulnerabilidades (Sin Tecnicismos Innecesarios)

Para entender el riesgo, no necesitas conocer los detalles internos del compilador de Chrome. Lo que necesitas entender es esto: ambas vulnerabilidades permiten que un atacante ejecute código malicioso en tu computadora con solo hacer que visites una página web trampa.

No hay que descargar nada. No hay que hacer clic en un ejecutable sospechoso. Una página HTML cuidadosamente construida es suficiente.

Los detalles técnicos para quienes los quieran:

CVE-2026-3909 (Skia, CVSS 8.8): Vulnerabilidad de escritura fuera de límites (out-of-bounds write) en Skia, la biblioteca 2D gráfica que Chrome usa para renderizar todo lo que ves en pantalla. Un atacante puede manipular cómo Skia procesa ciertos gráficos para escribir datos en memoria arbitraria, potencialmente tomando control de la ejecución del proceso.
CVE-2026-3910 (V8 Maglev, CVSS 8.8): Implementación inapropiada en el compilador Maglev de V8 (el motor JavaScript de Chrome), específicamente en el paso de "Phi untagging". Una confusión de tipos en el compilador JIT permite a un atacante lograr ejecución de código arbitrario dentro del sandbox del navegador.

Ambas fueron descubiertas por el propio Google — específicamente por el Threat Analysis Group (TAG), la unidad de Google que rastraza amenazas de actores estatales y grupos de ciberespionaje. Esto sugiere que los exploits activos pueden estar siendo usados por actores sofisticados, no solo script kiddies.

¿Por Qué Importa Que Sean Dos Juntos?

No es común que Google libere dos zero-days simultáneamente con explotación activa. Cuando sucede, típicamente indica una de dos cosas:

Una campaña de ataque activa que usa ambas vulnerabilidades en cadena (chain exploit) para lograr mayor impacto — por ejemplo, la primera vulnerabilidad para escapar del renderer process y la segunda para eludir el sandbox
Múltiples actores independientes que descubrieron y explotaron los fallos antes de que Google pudiera parchear

Google no ha revelado quién está detrás de los ataques ni cuáles son los objetivos. El hecho de que TAG (que se especializa en amenazas de actores estatales) fuera quien los descubrió el 10 de marzo de 2026 es un dato que habla por sí solo.

Quién Está en Riesgo

Chrome tiene aproximadamente 3,500 millones de usuarios activos. Eso lo convierte en el objetivo más grande del mundo para vulnerabilidades de navegador. Pero dentro de ese universo, hay perfiles con mayor riesgo:

Periodistas y activistas: Los zero-days en Chrome con explotación activa por actores estatales frecuentemente se usan para vigilancia dirigida. Si tu trabajo te pone en el radar de gobiernos, esto es especialmente relevante.
Ejecutivos y empleados con acceso a datos sensibles: Un atacante que compromete tu navegador puede acceder a todo lo que haces en él — correo, documentos, sesiones bancarias, herramientas corporativas en la nube.
Usuarios que no actualizan regularmente: El riesgo es mayor para quienes mantienen pestañas abiertas durante días sin reiniciar el navegador (y por tanto sin aplicar actualizaciones).
Empresas con Chromebooks o Chrome Enterprise: La superficie de ataque corporativa es enorme si el parche no se propaga rápidamente.

Cómo Verificar Si Ya Tienes el Parche

La versión parcheada es Chrome 146 o superior. Para verificar:

Abre Chrome
Haz clic en el menú (tres puntos en la esquina superior derecha)
Ve a Ayuda > Información de Google Chrome
Chrome verificará automáticamente si hay actualizaciones y las instalará
Reinicia el navegador cuando se lo pida — el reinicio es obligatorio para aplicar el parche

Si ves que ya tienes Chrome 146.x.x.x, estás protegido. Si no, la actualización debería estar disponible inmediatamente.

Importante: Chrome se actualiza automáticamente, pero el parche no se aplica hasta que reinicias el navegador. Si tienes Chrome abierto con muchas pestañas y lo dejas así días, no eres vulnerable todavía — pero en cuanto visites una página trampa, sí lo serías. Reinicia.

¿Qué Pasa Con Edge, Brave y Opera?

Chromium, el motor de código abierto en el que se basa Chrome, también es la base de Microsoft Edge, Brave, Opera, Vivaldi y otros navegadores. Todos comparten el mismo código de Skia y V8, lo que significa que todos son potencialmente vulnerables.

Microsoft Edge: Microsoft suele lanzar parches de seguridad rápidamente cuando Google parchea Chromium. Verifica actualizaciones en Configuración > Acerca de Microsoft Edge.
Brave: Brave también parchea rápido. Ve a Configuración > Acerca de Brave.
Opera: Históricamente más lento en parchear que Chrome o Edge. Si usas Opera, considera cambiar temporalmente a Chrome actualizado mientras esperas el parche.

Firefox y Safari usan motores completamente diferentes (SpiderMonkey y WebKit respectivamente) y no están afectados por estas vulnerabilidades específicas.

El Contexto Mayor: Los Zero-Days en Navegadores Van en Aumento

Según el informe M-Trends 2026 de Mandiant (publicado esta semana), los sistemas operativos y los navegadores continúan siendo las categorías más atacadas por zero-days. En 2025, los sistemas operativos representaron el 44% de todas las vulnerabilidades zero-day explotadas, con los navegadores como la segunda categoría más atacada.

Lo que hace estos ataques especialmente peligrosos en 2026 es el modelo de acceso: los exploits de navegador están disponibles como servicio en mercados criminales. Un grupo de ransomware o un actor de espionaje no necesita desarrollar el exploit desde cero — puede comprarlo o arrendarlo. Esto democratiza el acceso a ataques sofisticados y amplifica el riesgo para todos.

La respuesta de Google de parchear en días es la defensa más efectiva. Pero solo funciona si los usuarios realmente instalan el parche.

Resumen: Tres Cosas Que Hacer Ahora

Actualiza Chrome a la versión 146 ahora — Menú > Ayuda > Información de Google Chrome
Reinicia el navegador — el parche no aplica hasta que reinicias
Si usas Edge, Brave u otro navegador basado en Chromium, actualiza también esos. Si no hay parche disponible todavía, usa Firefox o Safari temporalmente

En Sable seguimos de cerca las vulnerabilidades activamente explotadas. Si tu organización necesita ayuda para mantener un proceso de gestión de parches que no dependa de que los empleados lean artículos de seguridad, habla con nuestro equipo.