Grove Tech AI — Vibe Check scanner a AI Defender pro vibe-coded aplikace
Najdeme díry. Zazdíme je. Hotovo. Grove Tech AI je AI studio a bezpečnostní platforma pro lidi, kteří staví aplikace v Cursoru, Replitu, Lovable, Bolt, v0, Windsurf nebo Claude Code. Vibe Check naskenuje vaši appku z URL za zhruba 8 sekund, vrátí skóre 0–100 a konkrétní opravy. AI Defender ji pak chrání v runtime jedním řádkem kódu.
Vibe Check — scanner pro AI appky
URL → skóre 0–100 a seznam problémů s kopírovatelnými opravami za ~8 sekund. 145 deterministických kontrol napříč 8 kategoriemi — žádné halucinace, 100% reprodukovatelné. Najde leaknuté API klíče, otevřené .env soubory, source mapy a nechráněné AI endpointy.
- Bezpečnost — HTTPS, HSTS, CSP, cookies, hlavičky, expozice secrets a klíčů
- Výkon — odezva serveru, komprese, cachování, inline assets
- SEO — meta tagy, struktura, sitemap, robots, canonical
- GDPR — cookie consent, analytics, soukromí
- AI Readiness — sémantická struktura, llms.txt, schema.org, dostupnost pro AI agenty
- NIS2 — přehled compliance pro českou a EU legislativu
AI Defender — runtime ochrana
AI Defender blokuje prompt injection, úniky API klíčů, krádeže dat a cost útoky přímo za běhu aplikace. Nasazení je jeden řádek: app.use(d.web()).
Integrace do vývojářského workflow
- MCP server — Vibe Check jako Model Context Protocol server. Skenujete přímo z Claude Code, Cursoru, Windsurfu nebo jiného MCP klienta: nástroje scan_url, get_findings, explain_finding, compare_scans a scan_mcp_config. Instalace: npx -y @grovetech/vibe-mcp.
- CLI nástroj — @grovetech/defender s příkazy init, check, proxy a replay. Sken buildu před nasazením (defender check) a runtime proxy pro libovolný stack. Funguje v CI, výstup 1 při nálezu.
- IDE integrace — Cursor, Claude Code, Windsurf a VS Code přes MCP; slash příkaz /vibecheck spustí sken, vysvětlí nález, navrhne opravu a po opravě sken zopakuje.
- GitHub integrace — sken repozitáře a pull requestů, výsledky jako PR komentáře a status checks.
Detekce malwaru a monitoring úniků
- Detekce malwaru (malware detection) — kontrola stránky na injektovaný malware: cizí skripty, kryptominery, skimmery platebních karet a přesměrování na škodlivé domény; ověření proti Google Safe Browsing.
- Monitoring úniků na dark webu (dark web monitoring) — sledujeme, jestli se e-maily, hesla nebo API klíče vaší domény neobjevily v uniklých databázích, a upozorníme vás.
- MCP Security sken — kontrola MCP serverů třetích stran: prompt injection a tool poisoning v popisech nástrojů, tajemství v plaintextu v konfiguraci a rug-pull změny definic.
Bezpečnost AI vrstvy a dodavatelského řetězce
- Leaknutý AI klíč přímo ve stránce — najdeme API klíč (OpenAI, Anthropic, Google, platební brány, cloud) zapečený do HTML nebo JS, kde ho vidí každý návštěvník. Kritický nález — klíč jde zneužít okamžitě a na váš účet.
- Odhalený systémový prompt — když je systémová instrukce vašeho chatbota nebo AI asistenta viditelná ve zdroji stránky, upozorníme na to. Odhalený prompt usnadňuje jailbreak a prozrazuje interní logiku.
- Web supply-chain (Subresource Integrity) — cizí skript načtený bez ochrany integrity (SRI): když se obsah na zdroji změní, poběží na vašem webu cizí kód s plnými právy. Přesně takhle proběhl útok na polyfill.io (2024, 100 000+ webů). Závažnost kalibrujeme podle zdroje — user-content úložiště (blob storage, S3) jako vysoká, velké CDN jako doporučení.