Pentest automatizado · Powered by Olympus

Sua plataforma foi feita em 2 horas.
Pode ser hackeada em 2 minutos.

Avaliação de segurança automatizada para plataformas criadas com Lovable, Bolt, Cursor, v0 e outros AI builders. Cole a URL, receba o relatório no seu WhatsApp em ~5 minutos.

Verificar minha plataforma → Ver vazamentos de 2026
Avaliar minha URL
Resultado em ~5 minutos · Grátis na primeira
Online
🔒 Cloudflare Turnstile (verificação humana) — wire-up no deploy
60%
Apps vibe-coded com
API keys expostas
2.000
Vulnerabilidades críticas
em scan de 5.600 apps
1,5M
Tokens de API vazados
em 1 app vibe-coded
~5min
Tempo médio do
scan Hermes
O Vazamento Diário
Edição 2026 · Manchetes verificadas
Vazamentos · 2026

Não acontece com você?
Aconteceu com eles este ano.

Manchetes reais dos últimos meses. Empresas grandes, startups vibe-coded, plataformas brasileiras — todas com a mesma raiz: configuração padrão, segredo no bundle, RLS desligado.

★ Manchete principal · Abril 2026

Lovable mantém milhares de projetos expostos por 48 dias e culpa documentação, parceiro e usuários antes de pedir desculpas.

Bug de autorização permitia que qualquer conta gratuita acessasse o código-fonte e as credenciais de banco de dados de projetos alheios em 5 chamadas de API. A empresa primeiro negou, depois disse que era "comportamento intencional", culpou a HackerOne, e só então reconheceu o problema.

Lovable · The Register, TheNextWeb · 20 abr · 2026
Mais manchetes desta edição
02
Vercel·19 abr · 2026

API keys, tokens GitHub e variáveis de ambiente à venda por US$ 2 milhões no BreachForums.

A plataforma de deploy usada por boa parte das stacks vibe-coded brasileiras confirmou o incidente.

03
Moltbook·Jan · 2026

Rede social vibe-coded vazou 1,5 milhão de tokens de API três dias após o lançamento.

Supabase com Row Level Security desativada. 35 mil emails expostos no caminho.

04
Multiplan·10 jan · 2026

App de shoppings sofre invasão e expõe dados cadastrais e finais de cartão de crédito.

Empresa brasileira de capital aberto, milhões de usuários, mesma classe de erro das startups.

05
Escape.tech·Q1 · 2026

Scan em 5.600 apps vibe-coded encontra 400 segredos expostos e 175 casos com PII pública.

Inclui prontuários médicos e dados de pagamento. A maioria dos donos nunca soube.

06
BC · Pix·Fev · 2026

Banco Central registra primeiro incidente com chaves Pix de 2026.

O sistema mais regulado do país não escapa. E sua plataforma, sem auditoria nenhuma?

Como funciona

Três passos. Cinco minutos. Zero jargão.

você cola a URL

Cole o endereço.

Insira a URL da plataforma + email + WhatsApp. Aceite o termo de autorização (gerado automaticamente, com seu IP registrado por questão legal).

o agente roda

Hermes faz o scan.

Um agente de pentest passivo verifica TLS, headers, cookies, mixed content, secrets vazados no bundle JS, endpoints expostos (.env, .git, /admin), open redirect, CORS, subdomain takeover, e mais.

você recebe o relatório

Resumo na tela. Detalhes no WhatsApp.

Página com o número de findings + 1 amostra. Confirme email/WhatsApp e o relatório completo chega: severidade, evidência, impacto, remediação. Linguagem de founder, não de hacker.

Você não construiu sua empresa pra
virar manchete de vazamento.

Cinco minutos de scan agora valem mais do que cinco semanas de crisis management depois.

Verificar minha plataforma →