// docs / security guides
Guías de seguridad
Guías profundas y conscientes del framework para asegurar aplicaciones creadas con Cursor, Claude Code, Lovable, Bolt, v0, Replit y Windsurf. Cada guía es autoconclusiva — elige la que coincida con lo que estás haciendo ahora. Aparecen nuevas guías a medida que se identifican nuevas clases de ataque en el motor de escaneo de FixVibe.
// visión de categoría
Escaneo de seguridad para código generado por IA: DAST para apps vibe-coded
Por qué las apps generadas por IA necesitan un escaneo distinto al de las herramientas tradicionales de pentesting. Cubre las diez clases de vulnerabilidades sobrerrepresentadas en apps vibe-coded, DAST vs SAST cuando el código es medio máquina, qué buscar en un escáner y cómo se compara FixVibe con Burp Suite, OWASP ZAP y Nessus.
Leer el primer del escáner →
// auditoría pre-envío
La checklist de seguridad de vibe coding: 44 ítems antes de enviar
Checklist práctica organizada por fase para apps creadas con Cursor, Claude Code, Lovable y Bolt. Siete categorías — secretos, base de datos, autenticación, cabeceras, terceros, despliegue, monitoreo — con 44 ítems accionables, cada uno etiquetado pre-deploy / en-deploy / post-deploy.
Abrir la checklist →
// paso a paso
Cómo asegurar una app creada con herramientas de IA
Hardening paso a paso con fragmentos de código. Por qué fallan las apps generadas por IA, una auditoría inmediata del código, hardening en deploy (middleware, CSP, RLS, autenticación server-only), monitoreo continuo y cinco patrones reales de fallo con sus arreglos.
Empezar la guía de hardening →
// cursor-specific checklist
Cursor app security checklist
A 28-item hardening guide targeting Cursor-specific patterns: Autocomplete inlines service keys, Composer generates whole files without review, Agent mode runs terminal commands, and <code>.cursorrules</code> is your first security guardrail. Pre-deploy, at-deploy, and post-deploy checks for Cursor workflows.
Read the Cursor guide →
// claude-code-specific checklist
Claude Code security checklist
A 26-item guide for Claude Code (Anthropic's CLI agent): Multi-file refactoring via subagents, bash operations without verification, <code>.claude/CLAUDE.md</code> as your security policy file, and the risk of committing <code>.env</code> or cached tokens. Organized by phase and risk area.
Read the Claude Code guide →
// tool-specific guides
Security checklists for Lovable, Bolt, v0, Replit, and Firebase Studio
Five tool-specific checklists (27-30 items each) for Lovable's Vite bundle leaks, Bolt's terminal history exposure, v0's dangerouslySetInnerHTML re-appearing, Replit's public URLs, and Firebase's test-mode rules. Each guide targets the unique risks of that platform.
Browse the platform guides →
// structural analysis
Why AI coding tools leave security gaps
An honest analysis of the structural blindspots in Cursor, Claude Code, Lovable, Bolt, and v0. Training-data bias, autocomplete dynamics, no long-term context, and speed-as-metric create predictable security gaps. Learn the root cause of each gap class and the remediation pattern that closes it.
Read the gap analysis →
// scanner selection
Choosing a security scanner for AI-built apps
Comparison and decision framework for picking the right scanner — FixVibe, Burp Suite, OWASP ZAP, Snyk, and others. Covers the evaluation criteria that matter for AI-generated SaaS (BaaS coverage, JS bundle inspection, framework awareness, active-probe gating), a side-by-side table, and a decision matrix for six common scenarios.
Compare scanners →
Lo que viene
Planned additions: a Supabase-specific deep dive (RLS patterns, JWT shapes, edge-function isolation), a guide to API/MCP active-scan integration into CI, and a follow-up on shipping Lovable / Bolt apps to production. Watch the scan-engine changelog for the latest detections that drive each new guide.