Мы используем файлы cookie, чтобы обеспечить правильную работу сайта, улучшить его функциональность и анализировать трафик с помощью сервиса Яндекс.Метрика.
Vibe app Security Scanner
Защити свое Vibe-Coded приложение от взлома за
24 часа
Распространенные уязвимости в vibe-coded приложениях
В вашем vibe-coded приложении, скорее всего, есть эти уязвимости
Мы найдем всё это! Наши сканеры специально настроены под уязвимости AI-сгенерированных приложений.
Мы найдем всё это! Наши сканеры специально настроены под уязвимости AI-сгенерированных приложений.
Ключи OpenAI, Anthropic, Supabase service_role и учетные данные базы данных, жестко закодированные в клиентских пакетах JavaScript. Злоумышленники извлекают их за считанные секунды с помощью DevTools у браузера — один открытый ключ OpenAI стоил 12 000 долларов всего за выходные.
AI агенты часто нарушают логику авторизации. В 14 из 15 протестированных приложений отсутствовало rate-limiting входа в систему. Распространенные проблемы включают уязвимости для обхода аутентификации, отсутствие защиты CSRF и небезопасную обработку сеансов.
Таблицы Supabase доступны любому, у кого есть anon key. Vibe-coded приложения, часто пропускают политики RLS (Row Level Security — защита на уровне строк), что делает пользовательские данные уязвимыми для несанкционированного доступа. Исследования выявили две основные уязвимости в приложениях Lovable и Bolt:
- неправильная настройка защиты на уровне строк (Row Level Security);
- утечка токенов базы данных.
Ни в одном из 15 vibe-coded приложений не были реализованы заголовки безопасности (CSP, X-Frame-Options, HSTS). Эти заголовки защищают от XSS, перехвата кликов и атак "человек посередине". AI агенты оптимизирует функциональность, а не повышает безопасность.
Что мы проверяем
- Поиск опубликованных API-ключейНайдём OpenAI-ключи до того, как они принесут счёт на $12K.
Anthropic, Stripe и другие секреты в твоих JS-бандлах
AWS/GCP/Yandex/Telegram токены
150+ паттернов секретов проверяются автоматически - Проверим, что доступ есть только у пользователейПроверяем перехват сеансов пользователей
Находим уязвимости, связанные с обходом аутентификации
Проверяем правильность настройки OAuth
Протестируем защиту от подбора логина - Файлы, которые ты не собирался показыватьОбнаружение файлов .env, доступных из интернета
Проверка, является ли папка .git общедоступной
Поиск source maps, раскрывающих ваш код
Обнаружение конфиденциальных данных в клиентских пакетах - Кто реально может читать твои данныеПроверяем, действительно ли защищены Supabase-таблицы
Проверяем правила Firebase: блокируют ли неавторизованных
Находим SQL-инъекций до хакеров - Защита от типичных векторов атакиПроверим наличие заголовков, предотвращающих XSS и clickjacking
Найдем неправильные настройки SSL/TLS
Проверим настройки cookie от кражи сессий - Ловим специфичные ошибки AI-генерацииПроверяем закономерности, которые допускают Lovable, Bolt и v0
Обнаружим уязвимости, созданные с помощью Cursor
Выявим распространенные антипаттерны в кодировании
Защитите свое приложение за 3 простых шага
Отправьте URL своего приложения
Укажите URL развернутого сайта и необходимые данные.
Проведение аудита (24 часа)
Наш сканеры выполнят более 50 автоматических проверок, в том числе проанализирует процессы аутентификации и обработку данных.
Получите отчет на почту
Получите отчет с выводами, оценками серьезности проблем и подсказками по исправлению для каждого случая для AI.
Средний ущерб от одной утечки информации составляет 5,5–$1.24M.
Цены
Устраните уязвимости, которые могут обнаружить хакеры.
Стартовое сканирование
Легкий скан для ранней разработки
990 ₽
- ✓ Скан живого сайта (URL)
- ✓ Проверка на типичные ошибки и известные CVE
- ✓ Проверки на отсутствующие или небезопасные заголовки
- ✓ Проверка доступа к Supabase / Firebase
- ✓ JS-бандл (базовые паттерны)
- ✓ Поиск утечки API-ключей и секретов
- — Сканирование исходного кода
- — Повторный скан
- — Проверка процесса аутентификации
Проверка перед запуском
Глубокий анализ безопасности приложения с готовыми подсказками для устранения
1 900 ₽
- ✓ Всё из тарифа Стартовое сканирование
- ✓ JS-бандл расширенный (150+ паттернов)
- ✓ Более 50+ проверок
- ✓ Выявляем проблемы, которые обычно ускользают от внимания при быстром сканировании
- ✓ Проверка на auth bypass
- ✓ Глубокое сканирование аутентификации, доступа к данным и общедоступных конечных точек
- ✓ AI fix prompts (copy-paste)
- ✓ Повторный скан — в течении 7 дней
Непрерывная Защита
Постоянный мониторинг. Узнавайте о поломках сразу.
6 900 ₽
- ✓ Регулярное автоматическое полное сканирование
- ✓ Постоянные оповещения, отслеживающие результаты сканирования
Что-то создаете? Начните с стартового сканирования. Найдём основные ошибки, пока они не превратились в проблему.
Готовы к запуску? Проведите проверку перед запуском. Узнайте, что уязвимо, до того как реальные пользователи зайдут.
Нужна уверенность в защите? Непрерывная защита работает круглосуточно.
Частые вопросы
Vibe Coding— это создание приложений с помощью инструментов для генерации кода на основе искусственного интеллекта, таких как Lovable, Bolt.new, Cursor, Replit и v0.dev. Вы описываете свои пожелания на естественном языке, а ИИ пишет код. Это быстрый способ создания прототипов, но часто в коде обнаруживаются уязвимости, которые необходимо выявлять и устранять.
Введите свой URL-адрес в форму. Мы проверяем заголовки безопасности, выявляем открытые секретные данные, тестируем средства контроля доступа к базам данных (Supabase RLS, правила Firebase) и определяем уязвимости, характерные для кода, созданные AI. Результаты будут готовы в течении 24 часов, а не за недели.
После того как исправили уязвимости по нашим fix prompts — бесплатно перепроверяем те же проблемы. В тарифе проверка перед запуском: 7 дней после получения отчёта.
Мы сканирует приложения, созданные с помощью любых инструментов для написания кода на основе искусственного интеллекта, включая Lovable, Bolt.new, Replit, Cursor, v0.dev и Claude Code. Мы также тестируем серверные сервисы, такие как Supabase, Firebase и PlanetScale.
Мы принимаем оплату российскими картами, а так же оплату через SberPay
К каждой уязвимости готовый промпт: скопировал, вставил и задеплоил.
Любое сканирование, кроме непрерывной защиты, будет выполнено в течении 24 часов. Стартовое сканирование позволяет выявить наиболее серьезные проблемы с безопасностью. Проверка перед запуском включает в себя тестирование с аутентифицированным сканированием, проверку IDOR и полное сканирование. Когда сканирование будет завершено, вы получите электронное письмо.
Lovable и Replit быстро генерируют функциональный код, но часто допускают уязвимости в системе безопасности: жестко прописанные ключи API, таблицы Supabase без RLS, отсутствие заголовков безопасности. Перед развертыванием запустите сканирование — мы обнаружим уязвимости, которые создают эти инструменты на основе AI, и покажем, как их устранить.
Базовый тариф «Стартовое сканирование» за 990 рублей включает в себя базовые проверки безопасности. Тариф «Проверка перед запуском» за 1 990 рублей включает в себя комплексное покрытие и разовую проверку. Пакет «Непрерывная защита» за 6 900 рублей в месяц включает в себя ежедневное автоматическое сканирование, постоянное отслеживание предупреждений и мониторинг нарушений. Мы не вторгаемся в работу системы и не подвергаем ее риску — никаких попыток взлома, только анализ безопасности.
Стартовая проверка рисков — это быстрая базовая проверка, которая позволяет проверить заголовки безопасности, открытые секретные данные и базовую безопасность базы данных. Сканирование перед запуском обеспечивает комплексную проверку рабочих приложений с расширенным сканированием, аутентифицированным тестированием, обнаружением IDOR и полным анализом API.
Распространенные проблемы, с которыми мы сталкиваемся: открытые ключи API в JavaScript (OpenAI, Anthropic, учетные данные для доступа к базе данных), отсутствие Row Level Security, из-за чего любой может получить доступ к вашей базе данных, а также заголовки безопасности, которые делают вас уязвимыми для XSS и clickjacking.
Да, сканы абсолютно безобидны. Мы выполняем только операции чтения — никаких попыток взлома, изменения данных или деструктивного тестирования. Наши сканирования безопасны для prod сред и не повлияют на работу пользователей.
- Включите RLS для ВСЕХ таблиц
- Создайте политики, ограничивающие доступ к личным данным пользователя
- Никогда не раскрывайте ключ service_role во внешнем интерфейсе
- Добавьте заголовки безопасности.
