Las herramientas de vibe coding convierten una frase en una app funcionando. En 2026 hay cinco que importan — Lovable, Cursor, Bolt, v0 y Replit — y la mayoría de los listados las ordena solo por velocidad y calidad de salida.
Esta comparación agrega la columna que esos listados saltean: qué hueco de seguridad deja cada herramienta. Porque la forma más rápida de publicar una app es también la más rápida de publicar una base de datos expuesta.
Comparación rápida
| Herramienta | Ideal para | Stack típico | Hueco de seguridad común |
|---|---|---|---|
| Lovable | App web completa desde un prompt | React + Supabase | RLS de Supabase apagado → datos públicos |
| Cursor | Mantener el control en un editor | Cualquiera (lo escribís vos) | Diffs aceptados con secretos hardcodeados |
| Bolt | Full-stack en el navegador | Vite/React + varios | Secretos en el cliente, sin auth |
| v0 | UI y componentes Next.js | Next.js + Vercel | Mal uso de NEXT_PUBLIC_, rutas sin auth |
| Replit | Todo-en-uno en la nube + hosting | Cualquiera + Replit DB | Repls públicos filtrando secretos |
Lovable
Lo más cercano a "describilo y está online". Genera un front de React con Supabase y lo despliega. Su falla más común es publicar con RLS de Supabase apagado, exponiendo datos. Ver: ¿Es Lovable seguro?
Cursor
Menos "vibe coder", más "par programador con IA". Editor basado en VS Code: mantenés y hosteás el código. El riesgo es la velocidad de aceptar diffs: una clave hardcodeada se cuela porque la app anda. Ver: ¿Es Cursor seguro?
Bolt
Bolt (StackBlitz) construye y corre una app full-stack entera en el navegador. Rápido para prototipos. Los huecos comunes: secretos en el bundle y APIs sin auth. Ver: ¿Es Bolt seguro?
v0
El v0 de Vercel empezó como generador de UI y ahora arma apps Next.js completas. El problema recurrente es el manejo de variables de entorno: secretos expuestos por NEXT_PUBLIC_ y route handlers sin verificar auth. Ver: ¿Es v0 seguro?
Replit
IDE en la nube todo-en-uno con Secrets manager, base de datos y hosting. El riesgo es usar mal las herramientas: Repls públicos que exponen código y claves, endpoints del Agent sin auth. Ver: ¿Es Replit seguro?
Sea cual sea, publicá seguro
La herramienta cambia el tipo de hueco, no si lo tenés. Toda app vibe-coded debería pasar los mismos controles antes de lanzar (ver la guía de seguridad en vibe coding). Nurbak escanea cualquier app — hecha con cualquiera de estas herramientas — y te da un informe priorizado en segundos.