Spustit sken — Vibe Code Health Scanner
Vložte URL a do zhruba 8 sekund dostanete skóre 0–100 a konkrétní seznam problémů s kopírovatelnými opravami. 145 deterministických kontrol napříč 8 kategoriemi — bez halucinací, 100% reprodukovatelné.
Sken najde leaknuté API klíče v JS bundlu, veřejně dostupné soubory .env a .git, produkční source mapy, nechráněné AI endpointy, chybějící bezpečnostní hlavičky, špatně nastavené CORS a odhalené admin panely.
Jak sken spustit
- Z webu — vložte URL do pole výše, první sken je bez registrace.
- Z Claude Code nebo Cursoru (MCP server) — npx -y @grovetech/vibe-mcp a zavolejte nástroj scan_url. Slash příkaz /vibecheck vede celou smyčku sken → vysvětlení → oprava → nový sken → porovnání.
- Z CLI — npx @grovetech/defender check spustí sken buildu před nasazením; v CI vrátí nenulový kód, když najde tajemství.
- Z GitHubu — výsledky jako komentáře k pull requestu a status checks.
Integrace do vývojářského workflow
- MCP server — Vibe Check jako Model Context Protocol server. Skenujete přímo z Claude Code, Cursoru, Windsurfu nebo jiného MCP klienta: nástroje scan_url, get_findings, explain_finding, compare_scans a scan_mcp_config. Instalace: npx -y @grovetech/vibe-mcp.
- CLI nástroj — @grovetech/defender s příkazy init, check, proxy a replay. Sken buildu před nasazením (defender check) a runtime proxy pro libovolný stack. Funguje v CI, výstup 1 při nálezu.
- IDE integrace — Cursor, Claude Code, Windsurf a VS Code přes MCP; slash příkaz /vibecheck spustí sken, vysvětlí nález, navrhne opravu a po opravě sken zopakuje.
- GitHub integrace — sken repozitáře a pull requestů, výsledky jako PR komentáře a status checks.
Detekce malwaru a monitoring úniků
- Detekce malwaru (malware detection) — kontrola stránky na injektovaný malware: cizí skripty, kryptominery, skimmery platebních karet a přesměrování na škodlivé domény; ověření proti Google Safe Browsing.
- Monitoring úniků na dark webu (dark web monitoring) — sledujeme, jestli se e-maily, hesla nebo API klíče vaší domény neobjevily v uniklých databázích, a upozorníme vás.
- MCP Security sken — kontrola MCP serverů třetích stran: prompt injection a tool poisoning v popisech nástrojů, tajemství v plaintextu v konfiguraci a rug-pull změny definic.
Bezpečnost AI vrstvy a dodavatelského řetězce
- Leaknutý AI klíč přímo ve stránce — najdeme API klíč (OpenAI, Anthropic, Google, platební brány, cloud) zapečený do HTML nebo JS, kde ho vidí každý návštěvník. Kritický nález — klíč jde zneužít okamžitě a na váš účet.
- Odhalený systémový prompt — když je systémová instrukce vašeho chatbota nebo AI asistenta viditelná ve zdroji stránky, upozorníme na to. Odhalený prompt usnadňuje jailbreak a prozrazuje interní logiku.
- Web supply-chain (Subresource Integrity) — cizí skript načtený bez ochrany integrity (SRI): když se obsah na zdroji změní, poběží na vašem webu cizí kód s plnými právy. Přesně takhle proběhl útok na polyfill.io (2024, 100 000+ webů). Závažnost kalibrujeme podle zdroje — user-content úložiště (blob storage, S3) jako vysoká, velké CDN jako doporučení.