Security-Lücken
Offene Endpoints ohne Auth-Check, API-Keys im Frontend-Bundle, Supabase-RLS-Policies, die jedem alles erlauben.
Du hast mit AI gebaut. Jetzt willst du wissen, wie production-ready dein Code wirklich ist, egal ob du gerade feststeckst oder einfach vor dem Launch sichergehen willst. Ich schaue mir dein Repo an, finde die kritischen Stellen, und gebe dir in 48 Stunden einen klaren Audit-Report.
1 import { supabase } from './db'2 import express from 'express'3 4 const app = express()5 6-app.get('/users/:id', async (req, res) => {öffentlich · keine Auth7- const id = req.params.id8- const q = `SELECT * FROM users WHERE id=${id}`SQL-Injection9- const { data } = await supabase.rpc('raw', { q })10- res.json(data) // gibt Passwort-Hash mit zurückleakt PII11-})6+app.get('/users/:id', requireAuth, async (req, res) => {Auth-Middleware7+ const id = parseId(req.params.id)8+ if (id !== req.user.id) return res.sendStatus(403)9+ const { data, error } = await supabaseparametrisiert · RLS aktiv10+ .from('users').select('id, name, email').eq('id', id).single()11+ if (error) return res.sendStatus(500)12+ res.json(data)13+})
ECHTES BEISPIEL · Express-Endpoint, vor und nach dem Audit
01 · Risiken
AI-Tools wie Cursor, Claude Code, Lovable, v0 oder Bolt liefern in Minuten einen funktionierenden Prototyp. Im Browser läuft alles. Aber sobald echte Nutzer, echte Daten oder echtes Geld im Spiel sind, fangen die Probleme an.
Offene Endpoints ohne Auth-Check, API-Keys im Frontend-Bundle, Supabase-RLS-Policies, die jedem alles erlauben.
DB-Queries in Loops, fehlendes Caching, klassisches N+1. Im Demo-Modus schnell, bei 100 Nutzer zäh, bei 1000 Ausfall.
CI/CD läuft rot, Secrets liegen in drei verschiedenen Dashboards, Backups gibt es keine. Ein Merge ins main und alles steht.
Derselbe Bug, die zehnte Lösung, immer weiter daneben. Statt besser wird der Code mit jedem Prompt unübersichtlicher.
02 · Das Audit
Ein einmaliges, asynchrones Audit deines Repos. Egal ob du ein konkretes Problem hast oder einfach wissen willst, wo dein AI-generierter Code steht: Ich lese den Code, identifiziere die kritischen Stellen, und schreibe dir einen priorisierten Audit-Report.
GitHub-Invite, Lovable-Project-Link oder ein Zip. NDA auf Wunsch.
Ich lese und teste lokal. Bei akutem Problem priorisiert nach Risiko, beim Pre-Launch-Audit nach Wirkung.
PDF + Markdown. Mit Code, Quellen, klaren nächsten Schritten.
Founding-Customer-Preis : die ersten 5 Audits zum reduzierten Tarif. Im Gegenzug bitte ich um ein ehrliches Testimonial.
Geld-zurück-Garantie. Wenn der Bericht keinen klaren nächsten Schritt liefert, bekommst du den vollen Betrag zurück. Ohne Diskussion.
03 · Leistungen
Wenn das Audit mehr als ein paar schnelle Fixes braucht oder das Pre-Launch-Audit größeren Handlungsbedarf zeigt. Drei strukturierte Folge-Engagements, die auf den Audit-Report aufsetzen.
Im Anschluss an das Audit buchbar
Tiefer Security-Pass: Auth-Flows, Secrets-Management, OWASP-Top-10, Dependency-Vulns, Deploy-Konfiguration. Output: ausführlicher Bericht plus die Fixes, gemerged in einen PR.
Prototyp wird Produkt: Error-Handling, Logging, Monitoring, CI/CD, DB-Migrations, Backups. Ein bis zwei Wochen Pauschal-Engagement, am Ende ist deine App deploy-bar ohne Bauchschmerzen.
Strukturierter Pass durch die gesamte Codebase: Architektur, Tech-Debt, Skalierungs-Risiken. Output: priorisierte Roadmap, mit der dein Team (oder deine AI) gezielt arbeiten kann.
04 · DEIN AUDITOR
Seit 20 Jahren baue ich Software. Heute helfe ich Foundern, ihren AI-generierten Code production-ready zu machen.
05 · DETAILS
Kein Problem. Du schickst mir entweder den Project-Link mit Read-Access, einen Export als Zip, oder ich pushe das Projekt zusammen mit dir in ein privates GitHub-Repo. Ich kenne die Strukturen aller gängigen AI-Builder.
Gerade dann. Die teuersten Bugs sind die, von denen du noch nicht weisst: RLS-Policies, die zu viel erlauben; ein Secret, das in einem alten Commit liegt; ein Endpoint, der bei 200 parallelen Requests umkippt. Das Audit sagt dir entweder „Sieht gut aus, hier ist eine Liste, was ich geprüft habe" (gut für Investoren-Due-Diligence), oder es findet das, was du sonst erst nach dem Launch findest.
Auf Wunsch unterschreibe ich vorab ein NDA. Dein Code wird ausschliesslich lokal analysiert, nicht weitergegeben, nicht in Trainingsdaten verwendet und nach Abschluss des Engagements gelöscht.
Dann bekommst du einen sauberen Audit-Report, der genau das dokumentiert, plus eine Liste der Punkte, die ich geprüft habe. Das hilft dir bei Investoren-Due-Diligence. Wenn auch das für dich keinen klaren Wert hat, gibt es das Geld zurück.
JavaScript / TypeScript, Python, Node, React, Next.js, Supabase, Firebase, Vercel, Google Cloud, AWS-Basics. Wenn dein Stack nicht dabei ist, frag kurz an, ich bin ehrlich, ob ich der richtige bin.
48 Stunden Werktage, ab dem Moment, in dem ich Repo-Zugang habe. Anfragen vom Freitagabend gehen also Montagabend live. Wenn du schneller brauchst, schreib es ins Anfrageformular, dann sehe ich, was geht.
Ja, gerne. Eine kurze, konkrete Frage per E-Mail an hello@ai-code-audit.de beantworte ich kostenlos, in der Regel innerhalb von 24 Stunden.
06 · Kontakt
Ein paar Felder, etwa zwei Minuten. Ich melde mich werktags innerhalb von 24 Stunden mit den nächsten Schritten.