Pentest para Apps de Vibecoding
Auditoría de seguridad en productos entregados con v0, Lovable, Bolt, Cursor, Claude Code, Replit y Supabase — antes de que el hacker haga vibehacking.
Por qué ahora
El dolor real
Hiciste vibecoding. Los hackers hacen vibehacking. service_role expuesto en el cliente, RLS desactivada en Supabase, IDOR en rutas generadas por IA, secrets en variables públicas, auth débil. El código compila. La app abre. Y está abierta para cualquiera.
Regulación aplicable
/superficie-de-ataque
Vectores que probamos en vibecoding e apps gerados por ia
Cada compromiso se diseña para su entorno. Los puntos a continuación son parte de nuestro playbook estándar para este sector — el alcance final se adapta a su stack y contrato.
Supabase / Firebase / Convex
RLS desactivada, políticas débiles, service_role en cliente, abuse anónimo y bypass de RLS vía vista.
Secrets en release
NEXT_PUBLIC con clave privada, JWT secret hardcoded, .env commiteado, token en bundle.
Edge functions y webhooks
Validación de firma ausente, replay de webhook, prompt injection en handler LLM.
Auth y sesión
Provider mal configurado, magic link reutilizable, sin rate limit en login, JWT mal validado.
IDOR y autorización
Rutas generadas por IA sin checkeo de ownership, endpoints REST adivinables, params confiados.
Storage y upload
Buckets públicos por defecto, sin validación de MIME, path traversal, URLs firmadas eternas.
Integración LLM
Prompt injection, prompt leak, costo abierto, system prompt accesible, drain de clave OpenAI.
Costo y abuse
Sin rate limit en endpoint pago, DoS por LLM, abuse de cuota gratuita.
/metodologia
Pentest manual de verdad
Los escáneres automatizados encuentran lo documentado. Los atacantes reales encuentran lo que no lo está. El 90% del trabajo es manual — realizado por especialistas con OSCP, CISSP, CRTO y GPEN.
01 · Reconocimiento
Mapeo del objetivo, OSINT, footprint, modelado de amenazas específico del sector.
02 · Descubrimiento
Enumeración profunda, escaneo complementario, identificación manual de exposición.
03 · Explotación
Validación manual con PoC controlada, encadenamiento de hallazgos, escalación.
04 · Informe
Ejecutivo + técnico, reproducción paso a paso, mapeado a la regulación aplicable.
/por-que-confiar
Quiénes han confiado en nuestro trabajo
Foco en startups early/mid stage y agencias no-code/low-code que entregan producto en días con stack moderna.
Evaluación técnica reconocida en entornos regulados de alta criticidad — el pentest que encuentra lo que nadie había encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/faq
FAQ — Vibecoding e Apps Gerados por IA
¿El informe incluye prompt de corrección?
Sí. Cada hallazgo viene con PoC reproducible + prompt listo para pegar en Cursor/Claude Code que aplica el fix en los patrones de tu stack.
¿Cuánto dura?
1-3 semanas según superficie. Una app v0 + Supabase + Stripe ronda 7-10 días hábiles con un pentester sénior.
/contacto
¿Listo para un pentest serio en vibecoding e apps gerados por ia?
Programe una reunión confidencial. En hasta 48h enviamos la propuesta con alcance, plazo y precio.