Construí um software de segurança com IA em 1 semana sem ser programador — usei Claude, Azure e Terraform

Em um hackathon corporativo recente, construí em uma semana uma aplicação web completa que faz threat modeling automatizado de arquiteturas de software — você envia o diagrama da arquitetura, e a IA devolve as ameaças identificadas com plano de mitigação. Não sou desenvolvedor. Já fiz scripts em PowerShell e Python, tenho background de faculdade em Java e C, mas programação não é minha rotina. A stack que usei é replicável para qualquer profissional de tecnologia que queira sair do zero.

Neste post mostro a stack, o fluxo de trabalho e o uso de Claude AI como copiloto de desenvolvimento que tornou isso possível. Não vou ensinar a codar do zero — vou mostrar como você usa IA para suprir o gap de não ser dev.

O problema que eu queria resolver

Trabalho como Senior Cybersecurity Lead na Microsoft e parte do meu dia é fazer threat modeling — sentar com times de produto, analisar a arquitetura proposta e identificar todas as ameaças de segurança que aquela arquitetura introduz, junto com plano de mitigação.

Hoje, esse processo é:

• Manual — analista olha o diagrama, pensa em ameaças
• Demorado — uma sessão pode levar várias horas
• Inconsistente — diferentes analistas identificam ameaças diferentes
• Auxiliado por ferramentas (Microsoft Threat Modeling Tool, OWASP Threat Dragon) mas ainda dependente do humano

A pergunta do hackathon: e se a IA fizesse a primeira passada automaticamente? Você envia o diagrama, a IA identifica 80% das ameaças óbvias, e o analista humano refina e cobre os 20% sutis. Multiplica a produtividade em 5x.

A stack que escolhi

[Frontend Web] → [Backend API] → [Azure AI Foundry (GPT-4)] → [Output JSON]
       ↓
[Storage de imagens]
       ↓
[Deploy: Terraform → Azure App Service]

Cada peça:

• Editor de código: VS Code — gratuito, leve, padrão de mercado
• Versionamento + colaboração: GitHub — repositório privado, integração nativa com Azure
• Cloud: Azure — onde trabalho, mas o conceito vale para AWS/GCP
• IaC (Infrastructure as Code): Terraform — multi-cloud, transferível
• Modelo de IA: GPT-4 via Azure AI Foundry — com filtros de conteúdo e proteção anti-jailbreak
• Assistente de desenvolvimento: Claude AI (interface web) — meu copiloto principal

Por que Terraform e não modelos proprietários (ARM, Bicep, CloudFormation)?

Cada cloud tem seu próprio sistema de IaC:

• Azure: ARM templates ou Bicep
• AWS: CloudFormation
• GCP: Deployment Manager

Funcionam bem, mas te amarram à cloud específica. Se você decidir migrar (ou trabalhar com múltiplas), refaz tudo do zero.

Terraform é agnóstico:

• Suporta as principais clouds com sintaxe similar
• Muito difundido no mercado — fácil contratar/colaborar
• Comunidade enorme, documentação rica
• Padrão da indústria para multi-cloud

A recomendação que sempre dou: se você trabalha exclusivamente com uma cloud, IaC nativo é OK. Para qualquer cenário multi-cloud ou portabilidade futura, Terraform é o caminho.

O fluxo de trabalho com Claude AI

Esse é o ponto mais importante do post. Como não-desenvolvedor, meu produtividade depende inteiramente de saber usar IA. O fluxo:

1. Criar um "Projeto" no Claude

Tanto Claude quanto ChatGPT permitem criar Projects — agrupamentos de conversas com contexto compartilhado. Criei um projeto chamado ThreatScope (nome da aplicação).

Todas as conversas relacionadas ao projeto ficam ali. Contexto não se perde entre sessões.

2. Para entender código existente

Encontrei um template público no GitHub semelhante ao que eu queria. Em vez de bater cabeça lendo código que não entendo, fiz o fluxo:

1. Fork do repositório público para meu próprio GitHub
2. Conectei meu GitHub ao Claude (Claude Projects suporta conexão direta)
3. Selecionei todos os arquivos do repo
4. Prompt:

Think as if you are a senior software architect. I don't understand this code. Explain this entire codebase to me as if you were explaining to my 90-year-old grandmother.

O Claude me deu uma explicação estruturada, em linguagem simples:

"Think of this as a security guard walking around a building, checking doors and windows for vulnerabilities. ThreatScope does the same thing, but for computer systems."

Depois detalhou arquivo por arquivo, indicando onde a UI mora, onde a lógica mora, onde está o deployment automation no GitHub. Aprendi em 20 minutos o que levaria dias de leitura tradicional.

3. Para gerar código novo

Cada feature seguia o ciclo:

1. Descrever o objetivo em prosa para o Claude
2. Receber código estruturado
3. Colar no VS Code e rodar
4. Quando dava erro, colar o erro de volta no Claude com contexto
5. Iterar até funcionar

Não escrevi nenhuma linha de Terraform a mão. Não escrevi nenhuma linha de React. Tudo gerado pelo Claude e refinado em diálogo.

4. Para entender erros

Esse é o cenário onde IA brilha mais que documentação. Quando o Terraform dava um erro genérico, eu colava:

• A mensagem de erro completa
• O arquivo .tf relevante
• Output do terraform plan

Claude identificava o problema em segundos e propunha a correção. Várias vezes era detalhe mínimo (API version errada da Azure, recurso depende de outro que não foi criado primeiro). Sem IA, eu gastaria horas.

A arquitetura da aplicação final

[Browser] → [Static Web App / Azure App Service]
                        ↓
                  [API Backend (Python Flask)]
                        ↓
                  [Azure AI Foundry — GPT-4]
                        ↓
                  [Análise → JSON estruturado]
                        ↓
                  [Renderizado de volta no frontend]

O usuário:

1. Faz upload de imagem do diagrama de arquitetura
2. Backend converte imagem em prompt estruturado para GPT-4
3. GPT-4 retorna lista de ameaças categorizadas (STRIDE: Spoofing, Tampering, Repudiation, Information Disclosure, DoS, Elevation of Privilege)
4. Cada ameaça vem com plano de mitigação sugerido
5. Frontend renderiza visualmente as ameaças sobre o diagrama original

O que tornou possível em uma semana

1. Azure AI Foundry com prompts engenheirados

Em vez de chamar GPT-4 com prompt genérico, criei system prompt específico de threat modeling:

Você é um arquiteto sênior de cybersegurança. Analise o diagrama de arquitetura fornecido e identifique todas as ameaças usando o framework STRIDE. Para cada ameaça, forneça: (1) categoria STRIDE, (2) descrição da ameaça, (3) impacto se explorada, (4) plano de mitigação recomendado. Retorne em JSON estruturado.

Esse prompt evoluiu durante a semana à medida que eu via os outputs e refinava.

2. Filtros de conteúdo do Azure AI Foundry

Como mencionei em post anterior, o Azure AI Foundry tem filtros nativos (jailbreak protection, content moderation) que não existem na API direta da OpenAI. Para uma ferramenta de cybersegurança que pode ser alvo de prompt injection, isso é crítico.

3. Deploy automatizado com Terraform + GitHub Actions

Cada commit no GitHub dispara um GitHub Action que roda terraform apply e faz deploy no Azure App Service. Zero deploy manual — eu commito, em 5 minutos a versão nova está live.

4. Componente visual reaproveitado

A interface de upload de imagem e renderização do JSON eu peguei de um template open-source no GitHub. Claude ajustou para minha necessidade específica.

Lições para quem está começando

Lição 1: domine o "explique como se eu fosse criança"

Esse é o prompt mais útil de todos. Antes de tentar escrever código, peça para a IA explicar o conceito que você está lidando. Você aprende rápido, evita erros baseados em ignorância.

Lição 2: nunca rode código que você não entende em produção

Mesmo com IA, você precisa entender minimamente o que está acontecendo. Não vibre dependendo cegamente de código gerado. Pergunte "por que isso?" e "o que esse pedaço faz?". A IA explica.

Lição 3: use GitHub desde o dia zero

Antigamente Git era pra dev. Hoje qualquer pessoa que escreve qualquer coisa em código deveria usar GitHub. Versionamento te salva quando você quebra algo, GitHub Actions te dá deploy automatizado, e seu portfolio público vira currículo técnico.

Lição 4: separe ambiente de desenvolvimento e produção

Mesmo um hackathon merece ter dois ambientes — dev para experimentação, prod para o demo final. Terraform facilita isso (workspaces).

Lição 5: Claude vs Copilot vs ChatGPT

Cada um tem prós:

• Claude: melhor em explicação longa e raciocínio estruturado
• GitHub Copilot: autocomplete dentro do VS Code, ótimo para velocidade
• ChatGPT: bom equilíbrio, ótimo para conversas exploratórias

Para meu fluxo, Claude pela web foi essencial (Copilot estava bloqueado no meu ambiente corporativo). Se você pode usar os três, melhor — cada um brilha em algo diferente.

O que fazer agora — checklist para construir seu primeiro projeto com IA

1. Instale o ambiente

• VS Code (code.visualstudio.com)
• Git (se ainda não tem)
• Crie conta no GitHub
• Crie conta no Claude (claude.ai) ou ChatGPT

2. Decida a cloud

Se sua empresa tem créditos Azure, vá Azure. Se você quer começar barato, vá Cloudflare Pages + Workers (gratuito para projetos pequenos) ou Vercel + Supabase (mesma coisa).

3. Encontre um template existente

Não começe do zero. Vá no GitHub, busque por templates da feature que você quer (flask + openai, nextjs + azure openai, etc.). Faça fork.

4. Use Claude para explicar o template

Antes de codar nada, entenda o que existe. 30 minutos lendo explicações do Claude vai te poupar dias de bater cabeça.

5. Gere uma feature pequena de cada vez

Não tente fazer tudo de uma vez. Faça um endpoint funcionar primeiro. Depois adicione a próxima feature.

6. Itere baseado em erro

Cada erro é input para o próximo prompt. Anote o que aprende — isso vira sua expertise pessoal.

A barreira de entrada para construir software diminuiu dramaticamente nos últimos dois anos. Não-desenvolvedores com IA hoje conseguem o que requeria equipe de devs há 3 anos. Quem ainda não experimentou esse fluxo está perdendo a maior alavanca de produtividade da década.

---

Este artigo foi gerado a partir do meu vídeo no YouTube. Assista a versão completa para ver a demonstração ao vivo do ThreatScope e a navegação completa no Claude AI durante o desenvolvimento.