built for vibe-coded saas

Ton SaaS
vibe-codé est-il
vraiment safe ?

Pipeline d'audit complet en moins de deux minutes. On lance 47 checks en parallèle sur les vulnérabilités typiques des apps buildées avec Lovable Bolt v0 Cursor Claude Code ChatGPT : clé exposée dans le bundle, RLS désactivée, route admin publique, etc. Tu reçois un rapport noté sur 100.

vibecheck · scan~ ready
14,90 € · 1 scan one-shot⌁ rapport en ~90s⌐ aucune install↘ paiement Stripe
le problème

Voici ce qui passe sous le radar de Lovable, Bolt, v0, Claude Code.

Quatre patterns qu'on retrouve dans la quasi-totalité des apps livrées par un outil d'IA générative sans review sécurité humaine. Pas des cas d'école. Ce qu'on détecte au quotidien.

01
La clé Supabase qui finit dans le bundle.
L'IA appelle Supabase directement depuis le client avec la service_role key au lieu de la anon. La clé part dans le JS public : bypass total de la RLS, n'importe qui peut lire et écrire toute la base.vibecheck · SECRETS-002 · CRIT
02
La route /admin publique par défaut.
Le scaffolding pose un dashboard admin sans middleware d'auth. Le fichier vit dans app/admin/page.tsx et reste accessible publiquement tant que personne ne pense à protéger la route serveur.vibecheck · AUTH-014 · CRIT
03
Le CORS wildcard pour faire passer le fetch.
Pour que ça marche en local, l'IA suggère Access-Control-Allow-Origin: *. C'est commit, push, prod. N'importe quel site peut maintenant taper ton API depuis le navigateur de tes utilisateurs.vibecheck · CORS-003 · HIGH
04
La RLS désactivée par « facilité ».
« Désactive la RLS pour faire passer la migration. » L'IA n'aime pas les erreurs et préfère les faire taire. Conséquence : la table profilesest lisible par toute clé anon, donc lisible par n'importe qui, partout dans la nature.vibecheck · RLS-007 · HIGH
// methodology

47 checks. Versionnés. Ouverts.

Chaque check a un identifiant stable, une sévérité documentée et une remédiation associée. Sélectionne une famille pour voir le détail.

checks/secrets-bundle
v0.4.2● synced
// families

Secrets & Bundle

passive11 checks· dernière update il y a 2h

On télécharge le bundle JavaScript de ton application et on le scanne ligne par ligne pour détecter les clés API, tokens et secrets qui n'auraient jamais dû quitter le serveur. C'est un des modes de fuite les plus fréquents sur les apps générées par IA.

idnametypeseverity
SEC-001Supabase anon key in client bundlepassivehigh
SEC-002Supabase service_role in client bundlepassivecrit
SEC-003Stripe secret key (sk_live_*)passivecrit
SEC-004OpenAI / Anthropic / API key in bundlepassivecrit
SEC-005JWT secret hardcoded in clientpassivehigh
SEC-006Database connection string in bundlepassivecrit
6 / 11 affichés→ voir les 11 checks de cette famille
// pricing

Trois manières de t'auditer.

Test ponctuel, suivi continu, ou accompagnement humain. Paiement Stripe, TVA incluse, résiliable à tout moment.

[01]
ONE_SHOT

Un scan, un rapport, une note. Tu testes ton SaaS en deux minutes.

14,90€
// paiement unique
// inclus
  • 1 scan complet de l'URL
  • Score de sécurité sur 100
  • 47 checks (passifs + actifs)
  • Rapport détaillé avec sévérités
  • Recommandations par finding
  • Export PDF du rapport
acheter ↗
RECOMMANDÉ
[02]
PRO

Pour itérer en continu. Tu rescans après chaque déploiement, tu suis l'évolution.

44,90€/mois
// résiliable à tout moment
// tout le One-shot, plus
  • Scans illimités
  • Dashboard avec historique
  • Comparaison entre 2 scans
  • Timeline du score
  • Tags & notes par projet
  • Webhook de fin de scan
s'abonner ↗
[03]
PRO+

Quand tu veux qu'on regarde ton rapport ensemble, pas juste un PDF.

140,90€/mois
// avec accompagnement
// tout le Pro, plus
  • 1 call de 45 min / mois
  • Walkthrough du rapport en live
  • Réponses async sur les findings
  • Priorité sur les nouveaux checks
  • Review manuelle d'un point précis
  • Slot réservable sous 48h
s'abonner ↗