Free
Para validar tu SaaS antes de lanzarlo.
- 10 auditorías al mes
- Los 12 checks de exposición
- Reportes web compartibles
- Sin tarjeta de crédito
Lovable, Bolt, v0 y Cursor te entregan apps en horas. También te entregan claves de Stripe expuestas, Supabase sin RLS y CORS abierto. VibeAuditt detecta los errores de configuración y datos expuestos más comunes. Es reconocimiento pasivo, no un pentest.
Sin tarjeta · 10 auditorías gratis al mes · reconocimiento pasivo (no tocamos tu base de datos)
// qué detectamos
Cada check está documentado, versionado (.v1) y aplica solo reconocimiento
pasivo: GET requests al HTML público, sin tocar tu backend ni intentar exploits.
exposed_api_keys.v1 API keys expuestas. Busca claves de Stripe, OpenAI, Supabase y JWTs filtrados en los bundles JavaScript. [Secretos]
exposed_config_files.v1 Archivos de configuración expuestos. Detecta .env, wp-config.php, backups SQL y otros 12 archivos que jamás deberían ser públicos. [Configuración]
exposed_git.v1 Directorio .git expuesto. Verifica si /.git/HEAD responde con tu rama actual y deja el historial entero accesible. [Configuración]
missing_security_headers.v1 Headers de seguridad ausentes. Audita CSP, HSTS, X-Frame-Options, X-Content-Type-Options y Referrer-Policy con matriz de severidad. [Headers HTTP]
cors_misconfig.v1 CORS mal configurado. Detecta combinaciones peligrosas como Access-Control-Allow-Origin: * con credentials: true. [Configuración]
supabase_rls_misconfig.v1 Supabase sin RLS. Sondea tablas via REST con tu anon key pública para detectar Row Level Security desactivado. [Autenticación]
firebase_open_rules.v1 Firebase con reglas abiertas. Identifica proyectos Firestore o Realtime DB con reglas allow read/write para todo el mundo. [Autenticación]
unauthed_endpoints.v1 Endpoints API sin autenticación. Prueba rutas comunes (/api/users, /api/admin) que devuelven datos sensibles sin pedir token. [Autenticación]
tls_misconfig.v1 TLS y HTTPS mal configurados. Verifica redirect HTTP → HTTPS, HSTS, max-age y preload list. Sin TLS, no hay confidencialidad. [TLS / HTTPS]
bundle_quality.v1 Calidad del bundle JavaScript. Detecta source maps en producción, bundles enormes y código no minificado que filtra estructura. [Bundle / performance]
og_meta_missing.v1 Meta tags OG / Twitter ausentes. Sin OG, tu link en redes sociales es invisible. Audita Open Graph, Twitter Card y favicons. [SEO técnico]
console_disclosure.v1 Información sensible en console. Renderiza la página con browser headless y captura console.log con tokens, IDs o errores reveladores. [Configuración]
// por qué importa
Los modelos de IA generan código que funciona, pero rara vez generan código seguro por defecto. Las claves quedan hardcodeadas en el bundle, Supabase queda sin Row Level Security, Firebase con reglas abiertas, y los headers de seguridad simplemente no existen.
Secretos expuestos
Al escanear 5.600 apps construidas con vibe coding, Escape.tech reportó más de 400 secretos expuestos (además de 2.000+ vulnerabilidades y 175 casos de PII).
Supabase sin RLS
El CVE-2025-48757 (CVSS 9.3) describe RLS insuficiente en Lovable: lectura/escritura no autenticada vía anon key. Está marcado como DISPUTED por el proveedor.
Casi todas fallan
Symbiotic Security escaneó 1.072 apps vibe-coded con Supabase: el 98% tenía al menos un fallo de seguridad y el 16% uno crítico.
Cifras de estudios públicos de proveedores de seguridad, no de VibeAuditt: metodología de escaneo de Escape.tech (5.600 apps), escaneo de 1.072 apps de Symbiotic Security y la ficha NVD del CVE-2025-48757.
// cómo funciona
Sin onboarding, sin OAuth, sin sales call.
input url Pegás la URL pública de tu SaaS. Sin instalar nada, sin credenciales, sin tocar tu base de datos.
run 12 checks En ~30 segundos: descarga el HTML, inspecciona los bundles JS, prueba paths conocidos, lee tus headers. Solo reconocimiento pasivo.
emit report Cada finding viene con severidad, evidencia censurada, explicación en español y código de ejemplo para arreglarlo.
// precios · sin trucos
Empezás gratis. Pro ($9/mes) no son "más checks": es monitoreo continuo que re-escanea y te avisa cuando un deploy vuelve a exponer algo. Sin trial engañoso, sin enterprise que cuesta $5K, sin SDR llamándote a las 9am.
Para validar tu SaaS antes de lanzarlo.
Para SaaS en producción: te avisamos cuando un deploy vuelve a exponer algo.
// briefing semanal
Un email semanal con un breach real, su análisis técnico y la solución. Sin spam, sin afiliados, sin "nuevo curso de $497".
// preguntas frecuentes
Si tu pregunta no está acá, escribinos a hola [arroba] vibeauditt.com.
Sí. VibeAuditt solo hace reconocimiento pasivo del HTML público, los bundles JavaScript expuestos y los endpoints documentados como públicos (Supabase REST con anon key, Firebase config). No intentamos exploits, no hacemos fuerza bruta, no enviamos cargas maliciosas. Es equivalente a abrir DevTools en Chrome. Para auditar sitios de terceros, necesitas autorización explícita de su dueño.
Sí, guardamos los findings asociados a un hash SHA-256 de tu IP (no la IP en claro) para rate limiting y para que puedas volver a ver el reporte. No vendemos datos, no entrenamos modelos con ellos, no los compartimos. Puedes eliminar tu auditoría cuando quieras (botón en la página del reporte, próximamente).
Cada finding incluye una recomendación concreta en español con código de ejemplo cuando aplica. Si usás Supabase, te decimos qué política RLS escribir; si filtraste una clave de Stripe, te decimos cómo rotarla y cómo configurar dotenv. Con Pro podés reauditar tras cada fix y activar el monitoring automático semanal para detectar regresiones.
En la versión actual, no. VibeAuditt analiza solo lo que es accesible públicamente desde una URL. Estamos evaluando un plan Enterprise con auditoría asistida que sí incluya backend (con credenciales que vos provees y autorización formal). Si te interesa, escribinos al correo de contacto del pie de página.
Sí, sin distinción. VibeAuditt audita el resultado: HTML + JS público + endpoints HTTP. No importa con qué herramienta lo construiste. De hecho, los patrones de error que más detectamos son típicos de proyectos generados con IA (claves en bundle, Supabase sin RLS, sin CSP).
// listo para escanear
30 segundos. 12 checks pasivos. 0 payloads. Sin tarjeta.