Lovable entrega funcionalidad rápido. El mismo patrón que lo permite — código con seguridad, salida con apariencia idiomática, iteración veloz — es el que esconde el riesgo que nosotros leemos. Auditamos bases de código de Lovable línea por línea, nombramos lo que está roto y te decimos qué arreglar primero.
Aplicaciones full-stack generadas de extremo a extremo (UI + backend + Supabase) desde un solo prompt, e iteradas después por chat.
La base de datos tiene tablas marcadas como públicas, o políticas RLS del tipo `USING (true)`. Cualquiera con la clave anónima del proyecto — que está pensada para ser pública — puede leer o escribir la tabla entera desde un navegador. La aplicación parece segura porque la UI protege las vistas, pero los datos están abiertos por defecto.
Una clave privilegiada (típicamente service_role de Supabase, admin de Firebase o secret_key de pagos) acaba referenciada en código de cliente. El pipeline de build la incrusta en el bundle de JavaScript, donde cualquier visitante puede leerla desde DevTools y saltarse todas las reglas a nivel de fila de la base de datos.
Endpoints que modifican datos — crear, actualizar, eliminar — aceptan peticiones sin comprobar nunca una sesión, un JWT ni un token de API. La UI esconde los botones detrás de una pantalla de login, así que la persona que lo construyó da por hecho que la API está protegida. No lo está: cualquiera con curl y la URL puede llamarla.
Una consulta lee por id pero nunca comprueba que el id pertenezca al usuario autenticado — típicamente `SELECT * FROM invoices WHERE id = ?` en lugar de `... WHERE id = ? AND user_id = ?`. Dos cuentas de prueba pueden leerse los registros mutuamente cambiando un número en la URL.
Cualquier usuario autenticado puede llamar al endpoint del LLM tan rápido como su navegador envíe peticiones. Un bucle en DevTools — o un único usuario curioso que encuentre el textarea correcto — quema el presupuesto mensual de inferencia en una tarde.
Saber qué herramienta construyó el código nos permite enfocar la auditoría. Empezamos detectando la firma de Lovable en la base de código, después leemos las superficies donde se concentran los modos de fallo específicos de Lovable: auth, secretos, acceso a datos, dependencias y rutas que tocan el LLM. De cinco a diez días hábiles desde el arranque hasta el informe escrito. No hace falta acceso al despliegue — con acceso de lectura al repositorio basta.
Hallazgos ordenados por gravedad, con rutas de archivo, referencias de línea, motivo y boceto de arreglo. Legible tanto por ingeniería como por roles no técnicos.
Grabación de 15 minutos del informe — para el socio, inversor o director que no asistió a la llamada en directo.
Conversación en vivo sobre gravedad, orden de arreglo y las decisiones que requieren a una persona en el bucle.
Slack o correo para aclaraciones, revisión de arreglos y un segundo par de ojos sobre los parches.
Base de código típica de pyme construida con IA, desde el arranque hasta el informe. Auditorías más grandes o multi-repo se cotizan aparte.
Frecuentemente sí. Auth acoplada encima de rutas que ya eran públicas es uno de los hallazgos más comunes en Lovable — el prompt añadió una pantalla de login pero no protegió los endpoints de la API que estaban detrás.
Las políticas RLS (lo más común: USING (true) que se quedó del momento de la generación), buckets de Storage públicos, claves service_role en el cliente, y si el esquema tiene aislamiento por usuario que realmente se aplica en las consultas.
‘Listo para producción’ en un constructor significa ‘desplegable’, no ‘seguro con usuarios reales’. La auditoría encuentra la diferencia entre ambos, con los modos de fallo específicos de las apps generadas por Lovable.
Apps Next.js, Python y full-stack con Tailwind, enviadas a gran velocidad por desarrolladores individuales.
Leer más →Cambios multi-archivo dirigidos desde terminal — frecuentemente tocando infraestructura, tests y código de producto en un mismo bucle de agente.
Leer más →Completados en línea sobre bases de código de empresa, mezclados con código a mano de varios autores a lo largo de los años.
Leer más →Diseñamos soluciones con privacidad desde el inicio, control humano, trazabilidad, límites de uso, gestión de permisos y documentación. Para procesos sensibles, ayudamos a evaluar los riesgos y obligaciones aplicables bajo el RGPD y el Reglamento de IA.
Cada proyecto lo lidera personalmente uno de los socios. Si hay encaje, te respondemos en menos de 24 horas con una primera lectura concreta de tu caso — no con una demostración genérica.
