What is Agent-as-a-Service pentesting?

Agent-as-a-Service (AaaS) pentesting lets you chat with autonomous pentesting agents that scan your application on demand. Instead of waiting weeks for a manual engagement, you talk to specialized agents — pen-scout (recon and surface mapping), pen-recon (deeper enumeration), pen-triage (validates and prioritizes findings), pen-fixer (remediation guidance), and pen-compliance (OWASP/standards mapping). Findings are validated with proof-of-concept and re-test, not just flagged. You start with 150 free credits, no credit card.

What are credits and how do they work?

Credits are how you run agent scans. Each scan or agent action consumes credits based on its depth. New accounts get 150 free credits with no card required. After that you can buy one-time credit packs ($29, $79, or $199) for pay-as-you-go use, or subscribe to a monthly tier ($49, $149, or $399/mo) for continuous, on-demand pentesting. The agents pen-scout, pen-recon, pen-triage, pen-fixer and pen-compliance all draw from the same credit balance.

Yes. Every new account gets 150 free credits with no credit card required — enough to chat with the pentesting agents and run real scans against your app. There is also a free security headers scan at sable.somoswilab.com/free-scan and a sample report at sable.somoswilab.com/sample-report. The free tier runs on OpenRouter models so you can evaluate the autonomous agents before paying.

What is penetration testing for startups?

Penetration testing (pentesting) is a simulated cyberattack against your application to find security vulnerabilities before real attackers do. For startups, we focus on the issues that matter most at your stage: authentication flaws, data exposure, API security, and common mistakes in modern stacks like Next.js, Supabase, and Firebase.

How much does a pentest cost?

Traditional pentests cost $10,000-$50,000+. SableOffensive starts at $29 for a Pre-Launch Check covering OWASP Top 10 and secrets detection. Founder Shield ($79) adds IDOR testing, auth bypass, and a debrief call. Scale Secure ($199) is a full-scope assessment. Every plan includes a professional report with remediation steps.

How long does a security scan take?

Pre-Launch Check reports are delivered within 24-48 hours. Founder Shield and Scale Secure may take 2-3 business days depending on the complexity of your application.

What do I need to provide?

At minimum, just your application URL. For more comprehensive testing, we may ask for staging credentials, API documentation, or GitHub repository access. We sign NDAs for all engagements.

What is OWASP Top 10?

OWASP Top 10 is the industry standard list of the most critical web application security risks. It includes injection attacks, broken authentication, cross-site scripting (XSS), server-side request forgery (SSRF), and security misconfigurations. Every SableOffensive assessment tests against the full OWASP Top 10.

Do you test AI-generated code?

Yes. Code generated by AI tools like Cursor, GitHub Copilot, and v0 often contains subtle security issues: hardcoded secrets, missing input validation, insecure API patterns, and overly permissive access controls. We have specific testing procedures for AI-generated codebases.

How do you secure Supabase and Firebase apps?

For Supabase, we audit Row Level Security (RLS) policies, test for direct table access, and check for exposed service keys. For Firebase, we review security rules, test Firestore/RTDB access patterns, and check Cloud Functions for vulnerabilities.

What if you find zero vulnerabilities?

50% money back guarantee. If our scan finds zero security issues, you get half your money back.

Is there a free pentesting option?

Yes. SableOffensive offers a free security headers scan at sable.somoswilab.com/free-scan. It instantly checks your website for 8 critical security headers (HSTS, CSP, X-Frame-Options, and more) and gives you an A-F grade with copy-paste fixes. No signup or payment required.

Can I get a free vulnerability scan?

Our free security headers check scans your website instantly and grades your security posture. For a deeper free assessment, contact us — we occasionally offer complimentary scans for early-stage startups and open source projects.

DarkSword: El Exploit que Hackeó tu iPhone sin que lo Supieras

Cuatro Meses de Espionaje Silencioso en tu iPhone

Desde noviembre de 2025, cientos de millones de iPhones fueron vulnerables a un exploit que nadie conocía. Se llama DarkSword, y no requería que instalaras nada, que abrieras un adjunto, ni que cayeras en un phishing. Solo visitar un sitio web comprometido era suficiente para que tu iPhone quedara totalmente expuesto.

El kit fue descubierto por Lookout y documentado por el Google Threat Intelligence Group (GTIG). Lo que encontraron fue una cadena de 6 vulnerabilidades — 3 de ellas zero-days — encadenadas para lograr control total del dispositivo. Actores estatales y proveedores comerciales de spyware lo usaron activamente contra usuarios en al menos cuatro países, incluyendo Ucrania.

Apple publicó el parche el 18 de marzo de 2026. Si tu iPhone no está en iOS 26.3.1 o 18.7.6, todavía estás expuesto.

Cómo Funciona DarkSword: 6 Vulnerabilidades en Cadena

DarkSword no es un exploit único — es una cadena completa escrita en JavaScript que se ejecuta desde el navegador. Así funciona la secuencia de ataque:

Entrega (watering hole): La víctima visita un sitio web legítimo que fue comprometido, o uno malicioso diseñado específicamente. No hace falta interacción.
Ejecución inicial: El JavaScript detecta si el dispositivo corre iOS 18.4 a 18.6.2. Si sí, explota la primera vulnerabilidad para obtener ejecución de código en el sandbox del browser.
Escape de sandbox: Un segundo exploit (zero-day) rompe el aislamiento del browser y obtiene acceso al sistema de archivos.
Escalación a kernel: El tercer zero-day escala privilegios hasta nivel kernel — acceso total al sistema operativo.
Infostealer: El payload extrae credenciales, fotos, contactos, tokens de sesión, y datos de wallets de criptomonedas.
Persistencia silenciosa: En algunas variantes documentadas, el implante persiste entre reinicios.

Google GTIG lo describe como "significativamente más sofisticado que exploits anteriores" y similar en estructura al kit Coruna, que fue usado por el grupo de espionaje ruso UNC6353 — el mismo grupo que ya incorporó DarkSword a sus operaciones.

Qué Roba y Quién Está Detrás

DarkSword no discrimina. Su lista de objetivos incluye:

Credenciales guardadas: Contraseñas del keychain, logins de apps bancarias, tokens de autenticación
Wallets de crypto: El infostealer apunta específicamente a apps de Coinbase, MetaMask, Trust Wallet y otras billeteras populares
Datos de comunicación: Mensajes, contactos, historial de llamadas
Fotos y documentos: Acceso completo al almacenamiento del dispositivo
Ubicación y sensores: GPS, micrófono y cámara en versiones avanzadas del implante

Detrás del exploit hay dos tipos de actores. Primero, proveedores comerciales de spyware — el ecosistema de empresas que venden vigilancia gubernamental. Segundo, grupos de espionaje estatal, incluyendo UNC6353 con vínculos a Rusia, que usaron DarkSword en campañas de watering hole contra usuarios ucranianos.

El hecho de que múltiples actores distintos estén usando la misma cadena sugiere que DarkSword se comercializó o se filtró — el mercado de exploits iOS de nivel estado opera así.

Por Qué Esto Importa para Founders y CTOs

"Yo no soy un objetivo de espionaje estatal" es una respuesta comprensible, pero incompleta. El problema es el alcance: DarkSword fue diseñado inicialmente para espionaje, pero los infostealers financieros lo adoptaron rápidamente. Si manejas acceso a sistemas de producción, secretos empresariales, o crypto desde tu iPhone personal, eres un objetivo rentable para actores menos sofisticados que simplemente compraron acceso al kit.

Un founder cuyo iPhone está comprometido expone automáticamente: credenciales de AWS/GCP/Azure, tokens de GitHub, acceso a Slack y Linear, y potencialmente códigos 2FA de su empresa. Un dispositivo = superficie de ataque completa.

Qué Hacer Ahora

Actualiza inmediatamente: iOS 26.3.1 o iOS 18.7.6 incluyen todos los parches de DarkSword. Ve a Ajustes → General → Actualización de software.
Activa Lockdown Mode si eres alto riesgo: Si manejas información sensible o trabajas en sectores regulados, el Lockdown Mode de Apple bloquea JavaScript de sitios no conocidos, lo que habría prevenido este ataque.
Revisa apps de crypto: Si usas wallets de crypto en tu iPhone, considera mover activos significativos a una hardware wallet (Ledger, Trezor). Los móviles no son el lugar para guardar crypto de alto valor.
Audita sesiones activas: Revisa tokens activos en tus servicios críticos (GitHub, AWS, Google Workspace). Si el período de exposición coincide (noviembre 2025 — marzo 2026) y visitabas sitios en iOS sin Lockdown Mode, considera revocar y regenerar tokens.
Seguridad móvil de flota: Si tu empresa tiene iPhones corporativos, verifica que el MDM fuerza actualizaciones automáticas. Un dispositivo sin parchear en tu red es una puerta de entrada.

La Realidad del Mercado de Exploits iOS

DarkSword no es un accidente. Es el resultado de un ecosistema donde un exploit iOS de cadena completa puede venderse por $2-5 millones en mercados privados. Grupos estatales y proveedores de spyware compiten por estas herramientas, y cuando se filtran o deprecian, bajan de precio y quedan en manos de actores más oportunistas.

Apple ha mejorado significativamente su tiempo de respuesta — cuatro meses desde la detección hasta el parche es más rápido que el histórico de la industria. Pero el vector de watering hole, sin interacción del usuario, sin señales visuales, es el más difícil de defender en la práctica.

Si quieres saber qué superficie de ataque tiene tu empresa desde dispositivos móviles y endpoints — y si hay exposiciones que no estás viendo — en Sable lo analizamos. También revisa nuestro research sobre superficies de ataque expuestas inadvertidamente para entender cómo se construye visibilidad real de seguridad.