O v0 da Vercel produz uma das saídas mais limpas entre as ferramentas de vibe coding — Next.js idiomático, bons componentes. Mas o Next.js tem algumas armadilhas de segurança específicas, e "código limpo" ainda pode publicá-las.
Risco 1: Vazamentos de segredos por NEXT_PUBLIC_
No Next.js, toda variável de ambiente com prefixo NEXT_PUBLIC_ é injetada no bundle do navegador. É a forma mais comum de vazar um segredo: a chave recebe esse prefixo "para o componente usar", e fica pública.
// RED FLAG: isso envia o segredo ao navegador
const key = process.env.NEXT_PUBLIC_STRIPE_SECRET
// Correto: leia segredos no servidor, sem NEXT_PUBLIC_
const key = process.env.STRIPE_SECRETSó valores públicos vão com NEXT_PUBLIC_. Rotacione qualquer segredo que teve esse prefixo.
Risco 2: Route handlers e server actions sem auth
O v0 monta handlers app/api/.../route.ts e server actions que funcionam — mas "funcionar" não inclui verificar auth. Um route que retorna dados precisa verificar a sessão e limitar a query ao usuário (veja o checklist de segurança de APIs).
Verifique o app publicado
O Nurbak escaneia seu app Next.js publicado: segredos expostos, route handlers sem auth e headers faltando, com relatório priorizado. Cole a URL e veja o resultado em segundos.