Saltar al contenido
// reconocimiento pasivo · 12 checks · 30s

Escáner de seguridad para tu SaaS hecho con IA

Lovable, Bolt, v0 y Cursor te entregan apps en horas. También te entregan claves de Stripe expuestas, Supabase sin RLS y CORS abierto. VibeAuditt detecta los errores de configuración y datos expuestos más comunes. Es reconocimiento pasivo, no un pentest.

Sin tarjeta · 10 auditorías gratis al mes · reconocimiento pasivo (no tocamos tu base de datos)

// qué detectamos

12 checks pasivos · 80% del OWASP Top 10 práctico

Cada check está documentado, versionado (.v1) y aplica solo reconocimiento pasivo: GET requests al HTML público, sin tocar tu backend ni intentar exploits.

scan://registro · 12 checks 0 payloads · reconocimiento pasivo
  1. exposed_api_keys.v1
    Crítico

    API keys expuestas. Busca claves de Stripe, OpenAI, Supabase y JWTs filtrados en los bundles JavaScript. [Secretos]

  2. exposed_config_files.v1
    Crítico

    Archivos de configuración expuestos. Detecta .env, wp-config.php, backups SQL y otros 12 archivos que jamás deberían ser públicos. [Configuración]

  3. exposed_git.v1
    Crítico

    Directorio .git expuesto. Verifica si /.git/HEAD responde con tu rama actual y deja el historial entero accesible. [Configuración]

  4. missing_security_headers.v1
    Medio

    Headers de seguridad ausentes. Audita CSP, HSTS, X-Frame-Options, X-Content-Type-Options y Referrer-Policy con matriz de severidad. [Headers HTTP]

  5. cors_misconfig.v1
    Alto

    CORS mal configurado. Detecta combinaciones peligrosas como Access-Control-Allow-Origin: * con credentials: true. [Configuración]

  6. supabase_rls_misconfig.v1
    Crítico

    Supabase sin RLS. Sondea tablas via REST con tu anon key pública para detectar Row Level Security desactivado. [Autenticación]

  7. firebase_open_rules.v1
    Crítico

    Firebase con reglas abiertas. Identifica proyectos Firestore o Realtime DB con reglas allow read/write para todo el mundo. [Autenticación]

  8. unauthed_endpoints.v1
    Medio

    Endpoints API sin autenticación. Prueba rutas comunes (/api/users, /api/admin) que devuelven datos sensibles sin pedir token. [Autenticación]

  9. tls_misconfig.v1
    Alto

    TLS y HTTPS mal configurados. Verifica redirect HTTP → HTTPS, HSTS, max-age y preload list. Sin TLS, no hay confidencialidad. [TLS / HTTPS]

  10. bundle_quality.v1
    Bajo

    Calidad del bundle JavaScript. Detecta source maps en producción, bundles enormes y código no minificado que filtra estructura. [Bundle / performance]

  11. og_meta_missing.v1
    Bajo

    Meta tags OG / Twitter ausentes. Sin OG, tu link en redes sociales es invisible. Audita Open Graph, Twitter Card y favicons. [SEO técnico]

  12. console_disclosure.v1
    Medio

    Información sensible en console. Renderiza la página con browser headless y captura console.log con tokens, IDs o errores reveladores. [Configuración]

// por qué importa

Los SaaS hechos con IA comparten un patrón

Los modelos de IA generan código que funciona, pero rara vez generan código seguro por defecto. Las claves quedan hardcodeadas en el bundle, Supabase queda sin Row Level Security, Firebase con reglas abiertas, y los headers de seguridad simplemente no existen.

  • CRITICAL

    Secretos expuestos

    Al escanear 5.600 apps construidas con vibe coding, Escape.tech reportó más de 400 secretos expuestos (además de 2.000+ vulnerabilidades y 175 casos de PII).

  • HIGH

    Supabase sin RLS

    El CVE-2025-48757 (CVSS 9.3) describe RLS insuficiente en Lovable: lectura/escritura no autenticada vía anon key. Está marcado como DISPUTED por el proveedor.

  • HIGH

    Casi todas fallan

    Symbiotic Security escaneó 1.072 apps vibe-coded con Supabase: el 98% tenía al menos un fallo de seguridad y el 16% uno crítico.

Cifras de estudios públicos de proveedores de seguridad, no de VibeAuditt: metodología de escaneo de Escape.tech (5.600 apps), escaneo de 1.072 apps de Symbiotic Security y la ficha NVD del CVE-2025-48757.

// cómo funciona

Tres pasos, cero fricción

Sin onboarding, sin OAuth, sin sales call.

  1. input url

    Ingresás la URL

    Pegás la URL pública de tu SaaS. Sin instalar nada, sin credenciales, sin tocar tu base de datos.

  2. run 12 checks

    VibeAuditt ejecuta los 12 checks

    En ~30 segundos: descarga el HTML, inspecciona los bundles JS, prueba paths conocidos, lee tus headers. Solo reconocimiento pasivo.

  3. emit report

    Recibís el reporte con soluciones

    Cada finding viene con severidad, evidencia censurada, explicación en español y código de ejemplo para arreglarlo.

// precios · sin trucos

Precios honestos, sin trucos

Empezás gratis. Pro ($9/mes) no son "más checks": es monitoreo continuo que re-escanea y te avisa cuando un deploy vuelve a exponer algo. Sin trial engañoso, sin enterprise que cuesta $5K, sin SDR llamándote a las 9am.

Free

$0 /para siempre

Para validar tu SaaS antes de lanzarlo.

  • 10 auditorías al mes
  • Los 12 checks de exposición
  • Reportes web compartibles
  • Sin tarjeta de crédito
Empezar gratis

Pro

recomendado
$9 /al mes

Para SaaS en producción: te avisamos cuando un deploy vuelve a exponer algo.

  • Monitoreo continuo: re-escaneo automático
  • Alerta cuando algo se regresiona en un deploy
  • Alertas a Discord / Slack
  • Auditorías ilimitadas
  • Reportes PDF descargables
  • Todo lo de Free + API
Suscribirme a Pro

// briefing semanal

Aprende a securizar SaaS vibe-coded

Un email semanal con un breach real, su análisis técnico y la solución. Sin spam, sin afiliados, sin "nuevo curso de $497".

// preguntas frecuentes

Lo que más nos preguntan

Si tu pregunta no está acá, escribinos a .

¿Es legal auditar mi propio SaaS?

Sí. VibeAuditt solo hace reconocimiento pasivo del HTML público, los bundles JavaScript expuestos y los endpoints documentados como públicos (Supabase REST con anon key, Firebase config). No intentamos exploits, no hacemos fuerza bruta, no enviamos cargas maliciosas. Es equivalente a abrir DevTools en Chrome. Para auditar sitios de terceros, necesitas autorización explícita de su dueño.

¿VibeAuditt guarda los resultados de mi auditoría?

Sí, guardamos los findings asociados a un hash SHA-256 de tu IP (no la IP en claro) para rate limiting y para que puedas volver a ver el reporte. No vendemos datos, no entrenamos modelos con ellos, no los compartimos. Puedes eliminar tu auditoría cuando quieras (botón en la página del reporte, próximamente).

¿Qué hago después de recibir el reporte?

Cada finding incluye una recomendación concreta en español con código de ejemplo cuando aplica. Si usás Supabase, te decimos qué política RLS escribir; si filtraste una clave de Stripe, te decimos cómo rotarla y cómo configurar dotenv. Con Pro podés reauditar tras cada fix y activar el monitoring automático semanal para detectar regresiones.

¿Pueden auditar mi backend (rutas privadas, base de datos)?

En la versión actual, no. VibeAuditt analiza solo lo que es accesible públicamente desde una URL. Estamos evaluando un plan Enterprise con auditoría asistida que sí incluya backend (con credenciales que vos provees y autorización formal). Si te interesa, escribinos al correo de contacto del pie de página.

¿Funciona con apps hechas en Lovable, Bolt, v0 o Cursor?

Sí, sin distinción. VibeAuditt audita el resultado: HTML + JS público + endpoints HTTP. No importa con qué herramienta lo construiste. De hecho, los patrones de error que más detectamos son típicos de proyectos generados con IA (claves en bundle, Supabase sin RLS, sin CSP).

// listo para escanear

Auditá tu SaaS ahora

30 segundos. 12 checks pasivos. 0 payloads. Sin tarjeta.