O Replit é uma plataforma de desenvolvimento completa no navegador: você escreve (ou prompta) o código, guarda segredos, roda o app e publica — tudo em um lugar. O Replit Agent constrói um app funcional a partir de uma descrição. A conveniência é real, e também o risco de ter tudo em uma conta.
Risco 1: Repls públicos expõem código e segredos
Em Repls públicos, seu código é visível para qualquer um — e também qualquer chave hardcoded ou commitada.
- Use o Secrets manager. A aba Secrets guarda chaves como variáveis de ambiente, fora do código.
- Deixe privados os Repls sensíveis. Nada com credenciais reais deveria ser público.
- Rotacione chaves expostas. Se uma chave viveu num Repl público, considere-a comprometida.
Risco 2: O Replit Agent publica defaults inseguros
Os apps gerados pelo Replit Agent têm as mesmas brechas de todo app vibe-coded: endpoints sem auth, input direto na query, sem rate limiting. "Funciona" é a régua do modelo, não "é seguro".
Risco 3: Deploy sem auth
Uma vez publicado, seu app está na internet pública. Confirme que as ações protegidas rejeitam usuários deslogados e que não sobrou uma rota de admin aberta.
Verifique o app publicado
O Nurbak escaneia seu app Replit de fora: segredos expostos, endpoints sem auth e headers faltando, com relatório priorizado. Cole a URL e veja o resultado em segundos.