Schnell gebaut heißt selten sicher gebaut. VibeShield durchleuchtet deine mit Lovable, Cursor oder Bolt gebaute App und zeigt geleakte Schlüssel, offene Datenbanken und fehlende Schutzmaßnahmen — jeder Befund mit Klartext-Erklärung und fertigem Fix-Prompt.
Kostenloser Scan mit 5 Checks. Aktive Prüfung erst nach Domain-Verifizierung. Beispiel-Befund ansehen
Gebaut für Apps aus
Kein Account-Wirrwarr, keine Agentur-Wartezeit. Vom Domain-Eintrag bis zum Bericht in wenigen Minuten.
Gib die Adresse deiner App ein. In Sekunden steht dein persönlicher Verifizierungs-Token bereit.
Ein DNS-Eintrag oder eine kleine Datei genügt. Wir prüfen ausschließlich Domains, die dir gehören.
Jeder Fund kommt mit Risiko, einer Erklärung in Klartext und einem fertigen Prompt für dein Tool.
Kein CVE-Kauderwelsch. Risiko, Klartext-Erklärung und ein Prompt, den du direkt in dein Tool einfügst — fertig zum Beheben.
Vollständigen Beispiel-Befund ansehenDein geheimer Datenbank-Schlüssel ist im öffentlichen JavaScript sichtbar. Damit kann jeder Besucher deine komplette Datenbank lesen und verändern — unabhängig von Login oder Rechten.
Fix-Prompt
Entferne den SUPABASE_SERVICE_ROLE_KEY aus dem Client-Code und verschiebe alle Aufrufe, die ihn brauchen, in Server-Routen. Im Browser nur den anon-Key verwenden und Row Level Security aktivieren.
Die Schwachstellen, die bei schnell gebauten Apps am häufigsten offen liegen.
Service-Role-Keys, API-Tokens und private Schlüssel, die versehentlich im ausgelieferten Code landen.
Verhaltens-Probe für Supabase Row Level Security: lässt der öffentliche Schlüssel unautorisiertes Lesen zu?
Fehlende Content-Security-Policy, Clickjacking-Schutz und Transportverschlüsselung.
.env, .git und Konfigurationsdateien, die öffentlich abrufbar sein könnten.
Schnittstellen, die Anfragen von beliebigen fremden Webseiten akzeptieren.
Hinweise auf ungeschützte Endpunkte und fehlende Zugriffskontrolle.
Beginne kostenlos. Wenn du tiefer prüfen willst, zahlst du einmalig — kein Abonnement.
Tiefergehende Begleitung gewünscht? Fix & Secure ab 1.500 € — wir beheben die Befunde gemeinsam mit dir.
Nein. Aktive Prüfungen laufen ausschließlich auf Domains, deren Eigentum du per DNS-Eintrag oder Datei nachgewiesen hast. Das ist rechtlich notwendig und schützt dich wie uns.
Nein. Jeder Befund wird in klarer Sprache erklärt — ohne Fachjargon und ohne Herablassung. Dazu gibt es einen fertigen Prompt, den du direkt in Lovable, Cursor oder Claude Code einfügst.
Policies sind von außen nicht direkt lesbar. Wir prüfen stattdessen das Verhalten: Ist der öffentliche Schlüssel exponiert und lässt er unautorisiertes Lesen zu? Wir benennen das ehrlich als Indiz, nicht als Garantie.
Nein. VibeShield liest nur — es werden keine Daten geschrieben, gelöscht oder verändert. Anfragen sind rate-limitiert und auf öffentlich erreichbare Endpunkte beschränkt.