Bolt.new entrega funcionalidad rápido. El mismo patrón que lo permite — código con seguridad, salida con apariencia idiomática, iteración veloz — es el que esconde el riesgo que nosotros leemos. Auditamos bases de código de Bolt.new línea por línea, nombramos lo que está roto y te decimos qué arreglar primero.
Prototipos full-stack generados en un entorno WebContainer, después exportados y bifurcados a despliegues ‘reales’.
Las rutas de la API establecen `Access-Control-Allow-Origin: *` junto con `Allow-Credentials: true` (o el equivalente). Cualquier sitio de terceros que el usuario visite puede lanzar peticiones autenticadas a la API en su nombre, leyendo o modificando sus datos sin que se entere.
Promesas que lanzan y rutas que se caen devuelven el stack trace completo de Node.js como cuerpo de la respuesta HTTP. Rutas de archivo, versiones de librerías, nombres de variables de entorno y nombres de columnas de base de datos se vuelven públicos — un regalo para cualquiera que esté perfilando la app para un exploit posterior.
El package.json usa rangos `^` y el proyecto no tiene lockfile en git, así que dos instalaciones limpias con una semana de diferencia traen árboles transitivos distintos. Una versión patch vulnerable de una dependencia profunda aterriza en producción antes de que nadie lea su changelog.
Una clave privilegiada (típicamente service_role de Supabase, admin de Firebase o secret_key de pagos) acaba referenciada en código de cliente. El pipeline de build la incrusta en el bundle de JavaScript, donde cualquier visitante puede leerla desde DevTools y saltarse todas las reglas a nivel de fila de la base de datos.
La base de datos tiene tablas marcadas como públicas, o políticas RLS del tipo `USING (true)`. Cualquiera con la clave anónima del proyecto — que está pensada para ser pública — puede leer o escribir la tabla entera desde un navegador. La aplicación parece segura porque la UI protege las vistas, pero los datos están abiertos por defecto.
Saber qué herramienta construyó el código nos permite enfocar la auditoría. Empezamos detectando la firma de Bolt.new en la base de código, después leemos las superficies donde se concentran los modos de fallo específicos de Bolt.new: auth, secretos, acceso a datos, dependencias y rutas que tocan el LLM. De cinco a diez días hábiles desde el arranque hasta el informe escrito. No hace falta acceso al despliegue — con acceso de lectura al repositorio basta.
Hallazgos ordenados por gravedad, con rutas de archivo, referencias de línea, motivo y boceto de arreglo. Legible tanto por ingeniería como por roles no técnicos.
Grabación de 15 minutos del informe — para el socio, inversor o director que no asistió a la llamada en directo.
Conversación en vivo sobre gravedad, orden de arreglo y las decisiones que requieren a una persona en el bucle.
Slack o correo para aclaraciones, revisión de arreglos y un segundo par de ojos sobre los parches.
Base de código típica de pyme construida con IA, desde el arranque hasta el informe. Auditorías más grandes o multi-repo se cotizan aparte.
CORS, sesiones, rutas de almacenamiento y cualquier código que asumía la red aislada del WebContainer. Mapeamos esos supuestos, nombramos dónde se rompen en despliegues reales y recomendamos arreglos.
Sí. Inconsistencias en el lockfile y churn de dependencias entre iteraciones es uno de nuestros hallazgos más comunes en Bolt. Fijamos y auditamos lo que está realmente en el lockfile desplegado frente a lo que el historial de prompts sugiere.
Frecuentemente sí. El manejo de errores por defecto en apps generadas por Bolt refleja la experiencia de desarrollo del WebContainer — stack traces completos, rutas de archivo, nombres de variables de entorno. Marcamos cada endpoint que lo hace.
Apps Next.js, Python y full-stack con Tailwind, enviadas a gran velocidad por desarrolladores individuales.
Leer más →Cambios multi-archivo dirigidos desde terminal — frecuentemente tocando infraestructura, tests y código de producto en un mismo bucle de agente.
Leer más →Completados en línea sobre bases de código de empresa, mezclados con código a mano de varios autores a lo largo de los años.
Leer más →Diseñamos soluciones con privacidad desde el inicio, control humano, trazabilidad, límites de uso, gestión de permisos y documentación. Para procesos sensibles, ayudamos a evaluar los riesgos y obligaciones aplicables bajo el RGPD y el Reglamento de IA.
Cada proyecto lo lidera personalmente uno de los socios. Si hay encaje, te respondemos en menos de 24 horas con una primera lectura concreta de tu caso — no con una demostración genérica.
