// manifiesto del proyecto
Por qué existe VibeAuditt
Una herramienta de seguridad para developers que construyen SaaS con Lovable, Bolt, v0, Cursor y Claude Code.
El problema
En 2026, lanzar un SaaS toma horas. Pegás un prompt en Lovable, ajustás tres componentes en v0, deployás a Vercel, conectás Stripe. Funciona.
Pero el código generado por modelos de IA tiene patrones predecibles de inseguridad: las
claves de Stripe quedan hardcodeadas en el bundle del cliente, Supabase queda en producción
sin Row Level Security, Firebase con reglas allow read, write: if true, y los
headers HTTP de seguridad simplemente no existen.
No es teoría. Symbiotic Security escaneó 1.072 apps vibe-coded con Supabase y encontró que el 98% tenía al menos un fallo de seguridad y el 16% uno crítico. Escape.tech reportó más de 2.000 vulnerabilidades, 400+ secretos expuestos y 175 casos de PII en 5.600 apps construidas con vibe coding. La mayoría no cae por hackers sofisticados, sino por scanners automáticos que buscan paths conocidos. Documentamos estos patrones en nuestras guías de seguridad para SaaS vibe-coded.
La misión
Darles a los developers latinoamericanos una herramienta de seguridad que sea accesible (registro gratuito en segundos), en español y específica para el stack vibe coding (Supabase, Firebase, Stripe del cliente, JWT en localStorage). Tenemos guías específicas por stack de vibe coding con los errores típicos de cada uno.
VibeAuditt no es Burp Suite, no es Nessus. No pretende reemplazar una auditoría profesional. Es la primera línea: el chequeo de 30 segundos que detecta lo obvio antes de que un script kiddie con shodan.io lo encuentre primero. El escaneo es gratis; mirá los planes y precios si querés monitoreo continuo.
El stack
Construido sobre Cloudflare end-to-end:
- Frontend: Astro 5 + Tailwind 4 en Cloudflare Pages
- API: Hono framework en Cloudflare Workers
- Database: Cloudflare D1 (SQLite distribuido)
- Cache + rate limiting: Cloudflare KV
- Browser rendering: Cloudflare Browser Rendering API
- Storage de PDFs: Cloudflare R2
- Analítica: Cloudflare Web Analytics (sin cookies) + Google Analytics 4 (solo con consentimiento)
El stack es 100% Cloudflare por dos razones: latencia (edge worldwide), y costos (free tier hasta 100K requests/día). Sin Vercel, sin Supabase en el frontend, sin Vercel KV, sin Upstash. Cero dependencias críticas fuera de un único proveedor.
El roadmap público
VibeAuditt se desarrolla en fases públicas. Cada commit está en GitHub y cada decisión
técnica documentada en PROGRESS.md.
- Fase 1-4: ✅ Schemas, checks, worker scanner
- Fase 5: ✅ Frontend público
- Fase 6: ✅ Auth propio (Argon2id + JWT) + checkout con Polar.sh + email transaccional con Resend (estás acá: producto en producción)
- Fase 7: Reportes PDF + monitoring semanal automático
- Fase 8: Newsletter + blog técnico
- Fase 9-10: API pública + integraciones (Discord, Slack)
Contacto
Si encontrás un bug, tenés una idea, o querés reportar un falso positivo: hola [arroba] vibeauditt.com.
Para security researchers que detecten vulnerabilidades en VibeAuditt mismo, escribinos a security [arroba] vibeauditt.com. Programa de bug bounty próximamente.