O Bolt.new (da StackBlitz) é uma das ferramentas de vibe coding mais impressionantes: constrói e roda um app full-stack inteiro no seu navegador e publica em um clique. O detalhe é que "primeiro no navegador" é de onde vêm suas brechas de segurança.
Risco 1: Segredos no bundle do cliente
Como o Bolt roda tudo no navegador (WebContainers), o caminho mais fácil para "fazer a chamada da API funcionar" é colocar a chave no código do cliente. Essa chave viaja no bundle, legível por qualquer um.
- Mova cada segredo para uma variável de ambiente do servidor; no front, apenas chaves publicáveis.
- Se uma chave esteve no cliente, rotacione — considere-a comprometida.
Risco 2: Sem autenticação
Como todo app vibe-coded, os endpoints do Bolt costumam retornar dados sem verificar quem pergunta.
Risco 3: Banco de dados aberto
Se seu app Bolt usa Supabase, confirme que o Row Level Security está ativado com políticas em cada tabela. Veja o guia de Supabase RLS.
Verifique o app publicado
O Nurbak escaneia seu app Bolt de fora: segredos expostos, sem auth, bancos abertos e headers faltando, com relatório priorizado. Cole a URL e veja o resultado em segundos.