Me dio curiosidad si una app hecha con vibe coding podía ser hackeada, así que la escaneé yo mismo
(vibesafe.onrender.com)No soy del área, pero últimamente he estado creando varias cosas con Cursor.
Hace unos días hice algo parecido a una tienda en línea con Flask, y pensé: "¿Qué pasa si alguien hackea esto?", así que probé uno de esos escáneres de seguridad.
Resultado: 0/100 puntos. Calificación F.
Ni siquiera sabía qué era SQL Injection, pero me salió que mi código lo tenía. También fue la primera vez que supe que eval() es peligroso.
Entonces pensé: "¿Solo me pasa a mí?", así que escaneé 10 proyectos parecidos más en GitHub.
Resultados
| Proyecto | Hecho con | Puntaje | Qué apareció |
|---|---|---|---|
| Vibe-Skills | Python + TypeScript | 0 puntos | Hash MD5, exposición de secretos |
| vibe-kanban | React | 0 puntos | 25 problemas de accesibilidad |
| vibedev | JavaScript | 20 puntos | 4 claves API hardcodeadas |
| Product-Brainstorm | React + Express | 76 puntos | Faltas de accesibilidad |
| motif | React | 76 puntos | Faltas de accesibilidad |
| VibeSecurity | FastAPI + Go | 88 puntos | Problema de configuración de CORS |
| mcphub | Go + Next.js | 88 puntos | Configuración de Docker |
| Vibe-Coder | Next.js | 96 puntos | 1 problema de accesibilidad |
| ctx-cloud | TypeScript | 96 puntos | 1 problema de accesibilidad |
| Portfolio | Next.js | 96 puntos | 1 problema de accesibilidad |
Promedio: 63 puntos. Pero la mayoría de los proyectos con backend sacaron F.
Los portafolios o proyectos solo de frontend casi sacaban puntaje perfecto, pero en cuanto empezaban a conectarse a una base de datos o a usar claves API, de pronto caían cerca de 0 puntos.
Lo que aprendí
- No debes escribir las claves API directamente en el código — fue la primera vez que supe que deben ir en un archivo
.env - Decirle a la IA “ten en cuenta la seguridad” no funciona muy bien — hice la prueba y solo corrige una parte
- Si solo hay frontend está bien, pero cuando le agregas backend se vuelve riesgoso — el momento realmente peligroso es cuando haces pagos o inicio de sesión
Herramienta de escaneo
La hice yo mismo. Si pones una URL de GitHub, te da una puntuación en menos de 30 segundos.
No requiere registro y es gratis. La hice para que novatos como yo por lo menos puedan saber "qué tan riesgoso es mi código". Cuando sale el resultado, puedes copiarlo y pegarlo en una IA para que lo corrija.
Código fuente: https://github.com/vibesafeio/vibesafe-action
Agradezco cualquier comentario.
2 comentarios
¡Lo usé muy bien!
¡Gracias! ¿Qué les pareció?