v0 entrega funcionalidad rápido. El mismo patrón que lo permite — código con seguridad, salida con apariencia idiomática, iteración veloz — es el que esconde el riesgo que nosotros leemos. Auditamos bases de código de v0 línea por línea, nombramos lo que está roto y te decimos qué arreglar primero.
Apps Next.js desplegadas en Vercel con Supabase como base de datos por defecto, a menudo enviadas antes de cualquier revisión de backend.
La base de datos tiene tablas marcadas como públicas, o políticas RLS del tipo `USING (true)`. Cualquiera con la clave anónima del proyecto — que está pensada para ser pública — puede leer o escribir la tabla entera desde un navegador. La aplicación parece segura porque la UI protege las vistas, pero los datos están abiertos por defecto.
Una clave privilegiada (típicamente service_role de Supabase, admin de Firebase o secret_key de pagos) acaba referenciada en código de cliente. El pipeline de build la incrusta en el bundle de JavaScript, donde cualquier visitante puede leerla desde DevTools y saltarse todas las reglas a nivel de fila de la base de datos.
Endpoints que modifican datos — crear, actualizar, eliminar — aceptan peticiones sin comprobar nunca una sesión, un JWT ni un token de API. La UI esconde los botones detrás de una pantalla de login, así que la persona que lo construyó da por hecho que la API está protegida. No lo está: cualquiera con curl y la URL puede llamarla.
Una consulta lee por id pero nunca comprueba que el id pertenezca al usuario autenticado — típicamente `SELECT * FROM invoices WHERE id = ?` en lugar de `... WHERE id = ? AND user_id = ?`. Dos cuentas de prueba pueden leerse los registros mutuamente cambiando un número en la URL.
Cualquier usuario autenticado puede llamar al endpoint del LLM tan rápido como su navegador envíe peticiones. Un bucle en DevTools — o un único usuario curioso que encuentre el textarea correcto — quema el presupuesto mensual de inferencia en una tarde.
Saber qué herramienta construyó el código nos permite enfocar la auditoría. Empezamos detectando la firma de v0 en la base de código, después leemos las superficies donde se concentran los modos de fallo específicos de v0: auth, secretos, acceso a datos, dependencias y rutas que tocan el LLM. De cinco a diez días hábiles desde el arranque hasta el informe escrito. No hace falta acceso al despliegue — con acceso de lectura al repositorio basta.
Hallazgos ordenados por gravedad, con rutas de archivo, referencias de línea, motivo y boceto de arreglo. Legible tanto por ingeniería como por roles no técnicos.
Grabación de 15 minutos del informe — para el socio, inversor o director que no asistió a la llamada en directo.
Conversación en vivo sobre gravedad, orden de arreglo y las decisiones que requieren a una persona en el bucle.
Slack o correo para aclaraciones, revisión de arreglos y un segundo par de ojos sobre los parches.
Base de código típica de pyme construida con IA, desde el arranque hasta el informe. Auditorías más grandes o multi-repo se cotizan aparte.
Frecuentemente sí. El hallazgo más común en v0 es la mala configuración de RLS — tablas públicas detrás de una UI con apariencia privada, lecturas de datos de cliente con la clave anónima, claves service_role filtradas al bundle del cliente. Por ahí empezamos.
Sí — y después de la auditoría tendrás una lista de arreglos que incluye un re-despliegue. Podemos revisar el despliegue posterior a los arreglos como parte de la ventana de seguimiento de 30 días.
A veces. Cada iteración puede deshacer un arreglo de seguridad de una iteración anterior si el prompt no lo preservó. Buscamos lugares donde la última versión de un archivo ha perdido protecciones que un commit anterior tenía.
Apps Next.js, Python y full-stack con Tailwind, enviadas a gran velocidad por desarrolladores individuales.
Leer más →Cambios multi-archivo dirigidos desde terminal — frecuentemente tocando infraestructura, tests y código de producto en un mismo bucle de agente.
Leer más →Completados en línea sobre bases de código de empresa, mezclados con código a mano de varios autores a lo largo de los años.
Leer más →Diseñamos soluciones con privacidad desde el inicio, control humano, trazabilidad, límites de uso, gestión de permisos y documentación. Para procesos sensibles, ayudamos a evaluar los riesgos y obligaciones aplicables bajo el RGPD y el Reglamento de IA.
Cada proyecto lo lidera personalmente uno de los socios. Si hay encaje, te respondemos en menos de 24 horas con una primera lectura concreta de tu caso — no con una demostración genérica.
