Por qué existe VibeAuditt

Una herramienta de seguridad para developers que construyen SaaS con Lovable, Bolt, v0, Cursor y Claude Code.

El problema

En 2026, lanzar un SaaS toma horas. Pegás un prompt en Lovable, ajustás tres componentes en v0, deployás a Vercel, conectás Stripe. Funciona.

Pero el código generado por modelos de IA tiene patrones predecibles de inseguridad: las claves de Stripe quedan hardcodeadas en el bundle del cliente, Supabase queda en producción sin Row Level Security, Firebase con reglas allow read, write: if true, y los headers HTTP de seguridad simplemente no existen.

Hemos visto SaaS con $5K de ARR siendo defaceados a la semana de lanzar. No por hackers sofisticados — por scanners automáticos que buscan paths conocidos.

La misión

Darles a los developers latinoamericanos una herramienta de seguridad que sea accesible (gratis, sin registro), en español y específica para el stack vibe coding (Supabase, Firebase, Stripe del cliente, JWT en localStorage).

VibeAuditt no es Burp Suite, no es Nessus. No pretende reemplazar una auditoría profesional. Es la primera línea: el chequeo de 30 segundos que detecta lo obvio antes de que un script kiddie con shodan.io lo encuentre primero.

El stack

Construido sobre Cloudflare end-to-end:

  • Frontend: Astro 5 + Tailwind 4 en Cloudflare Pages
  • API: Hono framework en Cloudflare Workers
  • Database: Cloudflare D1 (SQLite distribuido)
  • Cache + rate limiting: Cloudflare KV
  • Browser rendering: Cloudflare Browser Rendering API
  • Storage de PDFs: Cloudflare R2
  • Analítica: Cloudflare Web Analytics (sin cookies)

El stack es 100% Cloudflare por dos razones: latencia (edge worldwide), y costos (free tier hasta 100K requests/día). Sin Vercel, sin Supabase en el frontend, sin Vercel KV, sin Upstash. Cero dependencias críticas fuera de un único proveedor.

El roadmap público

VibeAuditt se desarrolla en fases públicas. Cada commit está en GitHub y cada decisión técnica documentada en PROGRESS.md.

  • Fase 1-4: ✅ Schemas, checks, worker scanner
  • Fase 5: ✅ Frontend público (estás acá)
  • Fase 6: Auth con Better-Auth + checkout con Lemon Squeezy
  • Fase 7: Reportes PDF + monitoring semanal automático
  • Fase 8: Newsletter + blog técnico
  • Fase 9-10: API pública + integraciones (Discord, Slack)

Contacto

Si encontrás un bug, tenés una idea, o querés reportar un falso positivo: hola@vibeauditt.com.

Para security researchers que detecten vulnerabilidades en VibeAuditt mismo, escribinos a security@vibeauditt.com. Programa de bug bounty próximamente.