Replit es una plataforma de desarrollo completa en el navegador: escribís (o prompteás) el código, guardás secretos, corrés la app y la desplegás — todo en un lugar. Replit Agent construye una app funcional desde una descripción. La comodidad es real, y también el riesgo de tener todo en una cuenta.
Riesgo 1: Repls públicos exponen código y secretos
En Repls públicos, tu código es visible para cualquiera — y también cualquier clave hardcodeada o commiteada.
- Usá el Secrets manager. La pestaña Secrets guarda claves como variables de entorno, fuera del código.
- Poné privados los Repls sensibles. Nada con credenciales reales debería ser público.
- Rotá claves expuestas. Si una clave vivió en un Repl público, asumila comprometida.
Riesgo 2: Replit Agent publica defaults inseguros
Las apps generadas por Replit Agent tienen los mismos huecos que toda app vibe-coded: endpoints sin auth, input directo a la query, sin rate limiting. "Funciona" es la vara del modelo, no "es seguro".
Riesgo 3: Despliegue sin auth
Una vez desplegada, tu app está en internet público. Confirmá que las acciones protegidas rechazan usuarios deslogueados y que no quedó una ruta de admin abierta.
Verificá la app desplegada
Nurbak escanea tu app de Replit desde afuera: secretos expuestos, endpoints sin auth y headers faltantes, con informe priorizado. Pegás la URL y tenés el resultado en segundos.