12 checks · 30 segundos · sin instalar nada

Audita la seguridad de tu SaaS hecho con IA

Lovable, Bolt, v0 y Cursor te entregan apps en horas. También te entregan claves de Stripe expuestas, Supabase sin RLS y CORS abierto. VibeAuditt los detecta antes que los atacantes.

Sin tarjeta · 3 auditorías gratis al mes · Solo análisis pasivo (no tocamos tu base de datos)

12 checks pasivos, cobertura del 80% del OWASP Top 10 práctico

Cada check está documentado, versionado (.v1) y aplica solo reconocimiento pasivo: GET requests al HTML público, sin tocar tu backend ni intentar exploits.

Crítico

API keys expuestas

Busca claves de Stripe, OpenAI, Supabase y JWTs filtrados en los bundles JavaScript.

Secretos

Crítico

Archivos de configuración expuestos

Detecta .env, wp-config.php, backups SQL y otros 12 archivos que jamás deberían ser públicos.

Configuración

Crítico

Directorio .git expuesto

Verifica si /.git/HEAD responde con tu rama actual y deja el historial entero accesible.

Configuración

Medio

Headers de seguridad ausentes

Audita CSP, HSTS, X-Frame-Options, X-Content-Type-Options y Referrer-Policy con matriz de severidad.

Headers HTTP

Alto

CORS mal configurado

Detecta combinaciones peligrosas como Access-Control-Allow-Origin: * con credentials: true.

Configuración

Crítico

Supabase sin RLS

Sondea tablas via REST con tu anon key pública para detectar Row Level Security desactivado.

Autenticación

Crítico

Firebase con reglas abiertas

Identifica proyectos Firestore o Realtime DB con reglas allow read/write para todo el mundo.

Autenticación

Medio

Endpoints API sin autenticación

Prueba rutas comunes (/api/users, /api/admin) que devuelven datos sensibles sin pedir token.

Autenticación

Alto

TLS y HTTPS mal configurados

Verifica redirect HTTP → HTTPS, HSTS, max-age y preload list. Sin TLS, no hay confidencialidad.

TLS / HTTPS

Bajo

Calidad del bundle JavaScript

Detecta source maps en producción, bundles enormes y código no minificado que filtra estructura.

Bundle / performance

Bajo

Meta tags OG / Twitter ausentes

Sin OG, tu link en redes sociales es invisible. Audita Open Graph, Twitter Card y favicons.

SEO técnico

Medio

Información sensible en console

Renderiza la página con browser headless y captura console.log con tokens, IDs o errores reveladores.

Configuración

Por qué importa

Los SaaS hechos con IA tienen un problema común

Los modelos de IA generan código que funciona, pero rara vez generan código seguro por defecto. Las claves quedan hardcodeadas en el bundle, Supabase queda sin Row Level Security, Firebase con reglas abiertas, y los headers de seguridad simplemente no existen.

73%

de los SaaS analizados en Fase 4 expusieron al menos una clave o token en el bundle JavaScript público.

1 de 4

tiene Supabase corriendo sin RLS o con políticas USING (true) que permiten lectura total.

90%

carece de Content Security Policy y de headers básicos como X-Frame-Options.

Métricas calculadas sobre auditorías agregadas durante el desarrollo de la Fase 4. Se irán actualizando con datos públicos a medida que VibeAuditt reciba más auditorías reales.

Cómo funciona

Tres pasos. Sin onboarding, sin OAuth, sin sales call.

  1. 1

    Ingresas la URL

    Pegas la URL pública de tu SaaS. Sin instalar nada, sin credenciales, sin tocar tu base de datos.

  2. 2

    VibeAuditt ejecuta los 12 checks

    En ~30 segundos: descarga el HTML, inspecciona los bundles JS, prueba paths conocidos, lee tus headers. Solo reconocimiento pasivo.

  3. 3

    Recibes el reporte con soluciones

    Cada finding viene con severidad, evidencia censurada, explicación en español y código de ejemplo para arreglarlo.

Precios honestos, sin trucos

Empezás gratis. Si te gusta, pagas $9 al mes y listo. Sin trial engañoso, sin enterprise que cuesta $5K, sin SDR llamándote a las 9am.

Free

Para validar tu SaaS antes de lanzarlo.

$0 para siempre
  • 3 auditorías al mes
  • Los 12 checks completos
  • Reportes web compartibles
  • Sin tarjeta de crédito
Empezar gratis
Recomendado

Pro

Para SaaS en producción que iteran rápido.

$9 al mes
  • 50 auditorías al mes
  • Todo lo de Free
  • Reportes PDF descargables
  • Monitoring automático semanal
  • Alertas Discord / Slack
  • API access
Empezar 7 días gratis

Auditoría personal

Cuando necesitas un humano revisando todo.

$79 una vez
  • Auditoría manual exhaustiva
  • Revisión de schema Supabase / Firebase
  • Lectura del código (si lo compartes)
  • Llamada de 30min con recomendaciones
  • Reporte ejecutivo PDF
Reservar auditoría

Aprende a securizar SaaS vibe-coded

Un email semanal con un breach real, su análisis técnico y la solución. Sin spam, sin afiliados, sin "nuevo curso de $497".

Preguntas frecuentes

Si tu pregunta no está acá, escribinos a hola@vibeauditt.com.

¿Es legal auditar mi propio SaaS?

Sí. VibeAuditt solo hace reconocimiento pasivo del HTML público, los bundles JavaScript expuestos y los endpoints documentados como públicos (Supabase REST con anon key, Firebase config). No intentamos exploits, no hacemos fuerza bruta, no enviamos cargas maliciosas. Es equivalente a abrir DevTools en Chrome. Para auditar sitios de terceros, necesitas autorización explícita de su dueño.

¿VibeAuditt guarda los resultados de mi auditoría?

Sí, guardamos los findings asociados a un hash SHA-256 de tu IP (no la IP en claro) para rate limiting y para que puedas volver a ver el reporte. No vendemos datos, no entrenamos modelos con ellos, no los compartimos. Puedes eliminar tu auditoría cuando quieras (botón en la página del reporte, próximamente).

¿Qué hago después de recibir el reporte?

Cada finding incluye una recomendación concreta en español con código de ejemplo cuando aplica. Si usás Supabase, te decimos qué política RLS escribir; si filtraste una clave de Stripe, te decimos cómo rotarla y cómo configurar dotenv. Para casos complejos, el plan Auditoría Personal incluye una llamada de 30 minutos.

¿Pueden auditar mi backend (rutas privadas, base de datos)?

En la versión actual, no. VibeAuditt analiza solo lo que es accesible públicamente desde una URL. Estamos evaluando un plan Enterprise con auditoría asistida que sí incluya backend (con credenciales que vos provees y autorización formal). Si te interesa, escribinos a hola@vibeauditt.com.

¿Funciona con apps hechas en Lovable, Bolt, v0 o Cursor?

Sí, sin distinción. VibeAuditt audita el resultado: HTML + JS público + endpoints HTTP. No importa con qué herramienta lo construiste. De hecho, los patrones de error que más detectamos son típicos de proyectos generados con IA (claves en bundle, Supabase sin RLS, sin CSP).

¿Listo para auditar tu SaaS?

30 segundos. 12 checks. Sin tarjeta.