Bolt.new (de StackBlitz) es una de las herramientas de vibe coding más impresionantes: construye y corre una app full-stack entera en tu navegador y la despliega en un clic. La trampa es que "primero en el navegador" es de donde vienen sus huecos de seguridad.
Riesgo 1: Secretos en el bundle del cliente
Como Bolt corre todo en el navegador (WebContainers), el camino más fácil para que "ande la llamada a la API" es poner la clave en el código del cliente. Esa clave viaja en el bundle, legible por cualquiera.
- Mové cada secreto a una variable de entorno del servidor; en el front solo claves publicables.
- Si una clave estuvo en el cliente, rotala — asumila comprometida.
Riesgo 2: Sin autenticación
Como toda app vibe-coded, los endpoints de Bolt suelen devolver datos sin verificar quién pregunta.
Riesgo 3: Base de datos abierta
Si tu app de Bolt usa Supabase, confirmá que Row Level Security esté activado con políticas en cada tabla. Ver la guía de Supabase RLS.
Verificá la app desplegada
Nurbak escanea tu app de Bolt desde afuera: secretos expuestos, sin auth, bases abiertas y headers faltantes, con informe priorizado. Pegás la URL y tenés el resultado en segundos.