Replit Agent entrega funcionalidad rápido. El mismo patrón que lo permite — código con seguridad, salida con apariencia idiomática, iteración veloz — es el que esconde el riesgo que nosotros leemos. Auditamos bases de código de Replit Agent línea por línea, nombramos lo que está roto y te decimos qué arreglar primero.
Apps generadas y alojadas dentro de Replit, con secretos guardados en el panel de entorno de Replit y bases de datos provisionadas automáticamente.
Las rutas de la API establecen `Access-Control-Allow-Origin: *` junto con `Allow-Credentials: true` (o el equivalente). Cualquier sitio de terceros que el usuario visite puede lanzar peticiones autenticadas a la API en su nombre, leyendo o modificando sus datos sin que se entere.
El package.json usa rangos `^` y el proyecto no tiene lockfile en git, así que dos instalaciones limpias con una semana de diferencia traen árboles transitivos distintos. Una versión patch vulnerable de una dependencia profunda aterriza en producción antes de que nadie lea su changelog.
Promesas que lanzan y rutas que se caen devuelven el stack trace completo de Node.js como cuerpo de la respuesta HTTP. Rutas de archivo, versiones de librerías, nombres de variables de entorno y nombres de columnas de base de datos se vuelven públicos — un regalo para cualquiera que esté perfilando la app para un exploit posterior.
El repositorio contiene un archivo .env con URLs de base de datos, claves de API o secretos de terceros que apuntan a servicios reales y facturables. Aunque el repositorio sea privado hoy, cualquiera que lo clone para onboarding, lo bifurque o navegue por commits antiguos se queda con un juego de claves operativo.
Endpoints que modifican datos — crear, actualizar, eliminar — aceptan peticiones sin comprobar nunca una sesión, un JWT ni un token de API. La UI esconde los botones detrás de una pantalla de login, así que la persona que lo construyó da por hecho que la API está protegida. No lo está: cualquiera con curl y la URL puede llamarla.
Saber qué herramienta construyó el código nos permite enfocar la auditoría. Empezamos detectando la firma de Replit Agent en la base de código, después leemos las superficies donde se concentran los modos de fallo específicos de Replit Agent: auth, secretos, acceso a datos, dependencias y rutas que tocan el LLM. De cinco a diez días hábiles desde el arranque hasta el informe escrito. No hace falta acceso al despliegue — con acceso de lectura al repositorio basta.
Hallazgos ordenados por gravedad, con rutas de archivo, referencias de línea, motivo y boceto de arreglo. Legible tanto por ingeniería como por roles no técnicos.
Grabación de 15 minutos del informe — para el socio, inversor o director que no asistió a la llamada en directo.
Conversación en vivo sobre gravedad, orden de arreglo y las decisiones que requieren a una persona en el bucle.
Slack o correo para aclaraciones, revisión de arreglos y un segundo par de ojos sobre los parches.
Base de código típica de pyme construida con IA, desde el arranque hasta el informe. Auditorías más grandes o multi-repo se cotizan aparte.
A veces. Las bifurcaciones arrastran la plantilla de secretos y, ocasionalmente, los tokens olvidados del desarrollador original. Revisamos el historial de git y el panel de entorno por cualquier cosa que debiera haberse rotado y no se rotó.
Sí. El hosting de Replit gestiona la infraestructura pero no la seguridad de la aplicación. RLS, protección de rutas, higiene de secretos y superficies de prompt injection siguen siendo tu responsabilidad — y ahí se concentran los hallazgos.
Sí. La frontera entre dev y prod se difumina — rutas de debug, diagnósticos por console.log y scripts ‘temporales’ se quedan activos porque nada los apaga. Los buscamos.
Apps Next.js, Python y full-stack con Tailwind, enviadas a gran velocidad por desarrolladores individuales.
Leer más →Cambios multi-archivo dirigidos desde terminal — frecuentemente tocando infraestructura, tests y código de producto en un mismo bucle de agente.
Leer más →Completados en línea sobre bases de código de empresa, mezclados con código a mano de varios autores a lo largo de los años.
Leer más →Diseñamos soluciones con privacidad desde el inicio, control humano, trazabilidad, límites de uso, gestión de permisos y documentación. Para procesos sensibles, ayudamos a evaluar los riesgos y obligaciones aplicables bajo el RGPD y el Reglamento de IA.
Cada proyecto lo lidera personalmente uno de los socios. Si hay encaje, te respondemos en menos de 24 horas con una primera lectura concreta de tu caso — no con una demostración genérica.
