Kostenloser Security-Scan · Keine Anmeldung nötig

Deine AI-gebaute Site leakt Daten.
Die Lücken in 8 Sekunden finden.

Lovable, Cursor, Bolt und v0 liefern funktionierende Apps — keine sicheren. Pantra scannt auf offengelegte API-Keys, fehlende RLS, offene Datenbanken, schwache Header und Dependency-CVEs — und liefert dir den exakten Prompt, um jede Lücke in deinem AI-Tool zu fixen.

Kein Account nötig · 3 Live-Checks in ~5 Sekunden · 100% gratis

L
C
B
V
R
starstarstarstarstar

Schliess dich 500+ Vibe Codern an · 4.8/5 Sterne von Early Users

Optimiert fürLovableCursorBoltv0ReplitNext.jsAstroSvelteKit
10’000+
SITES GESCANNT
94%
LEAKEN MINDESTENS EIN GEHEIMNIS
37 Stunden
ZEIT BIS ZUM ERSTEN BREACH
Was wir auf 10’000 vibe-coded Sites finden

AI shippt schnell. AI shippt auch offene Türen.

Das sind keine theoretischen Probleme — das sind die Findings, die wir auf fast jeder Site sehen, die mit Lovable, Cursor, Bolt oder v0 gebaut wurde. Jedes einzelne ist ein direkter Pfad zu geleakten Kundendaten, einem leergeräumten Payment-Account oder einer gehijackten Domain.

lock_openKRITISCH
57% der Supabase Apps

Supabase-Tabellen offen

Row Level Security deaktiviert. Wer DevTools aufmacht, sieht den Anon-Key, ruft /rest/v1/users auf und lädt in unter einer Minute deine komplette User-Tabelle als JSON runter. Kein Exploit nötig — nur ein curl.

key_offKRITISCH
34% leaken Stripe- / OpenAI- / AWS-Keys

Secret Keys im JS-Bundle

Service-Role-Tokens, sk-*-Keys, AWS-Secrets im Client-Bundle. Bots scrapen öffentliche JS-Files 24/7 — ein exponierter OpenAI-Key wird über Nacht auf $20k getrieben. Stripe-Secret? Refunds direkt auf Angreifer-Karten.

folder_offKRITISCH
22% legen /.env oder /backup offen

Offene .env- und Backup-Files

Ein falsch abgelegter Deploy-Config macht /.env, /.git/config, /dump.sql oder /backup.zip öffentlich abrufbar. Ein wget und der Angreifer hat deine DB-Credentials, dein Stripe-Secret, deine ganze Infrastruktur.

securityHOCH
82% ohne CSP, HSTS, X-Frame-Options

Keine Security-Header

Fehlendes CSP macht aus jedem XSS einen kompletten Session-Diebstahl. Kein HSTS heisst: ein Wi-Fi-Angreifer im Café downgradet deinen Login auf HTTP und liest das Passwort mit. Kein X-Frame-Options? Clickjacking übernimmt Accounts mit einem iframe.

package_2HOCH
68% shippen Packages mit aktiven CVEs

Bekannt-verwundbare Dependencies

AI-Tools wählen populär-klingende Packages ohne Advisories zu checken. Veraltetes Next.js, verwundbare Image-Libraries, abandoned Auth-Helpers — jedes davon ein gepatchter, öffentlich dokumentierter Exploit, der nur darauf wartet, von Scannern automatisiert zu werden.

alternate_emailHOCH
74% ohne SPF, DMARC oder CAA

Domain & E-Mail spoofbar

Ohne SPF/DMARC senden Angreifer Phishing-Mails von deiner eigenen Domain an deine Kunden. Ohne CAA kann jeder, der eine CA kompromittiert, ein Zertifikat für deine Domain ausstellen und deine Site servieren. Beides lautlos, beides verheerend.

Was Angreifer in 60 Sekunden machen

Automation schläft nie. Die Bots, die deine Site scannen, auch nicht.

Das sind keine James-Bond-Angriffe. Jeder einzelne ist ein Commodity-Skript, das gegen jede neue Domain im Internet läuft — deine inklusive, Stunden nach DNS-Propagation.

table_view

DB-Dump über den Anon-Key

Durchschnittskosten: $148 pro geleaktem Datensatz

DevTools auf → NEXT_PUBLIC_SUPABASE_ANON_KEY greifen → curl /rest/v1/users?select=* → 10’000 User-Mails und Passwort-Hashes auf der Platte. Bis zum Abendessen auf BreachForums.

payments

OpenAI- / AWS-Key leergeräumt

Typischer Verlust: $5k–$50k in 24 Stunden

GitHub-trainierter Scraper findet sk-* im öffentlichen Bundle → startet 1’000 parallele Requests → jagt $40k GPT-4-Compute durch, bevor dein Rate-Limit-Alert anspringt. Viel Spass beim Refund.

bug_report

XSS → Session-Takeover

Jeder eingeloggte User still gehijackt

Fehlendes CSP + ein nicht-sanitisiertes Kommentarfeld = das Angreifer-Skript läuft im Browser jedes Besuchers. Stiehlt Session-Cookies, impersoniert User, räumt Guthaben ab, bestellt Lieferungen. Du merkst es nur an den Support-Tickets.

outgoing_mail

Phishing von deiner eigenen Domain

15–40% deiner Kunden fallen auf Domain-Spoof-Mails rein

Kein SPF, kein DMARC. Angreifer schickt "dringender Passwort-Reset" von billing@deinedomain.com. Deine Kunden klicken. Credentials direkt zum Angreifer, Support-Wut direkt zu dir, Reputation auf den Boden.

folder_open

/.env-Download → komplette Infra-Übernahme

Game over. Alle Credentials müssen rotiert werden.

wget https://deinesite.com/.env → DATABASE_URL, STRIPE_SECRET, JWT_SECRET, AWS-Keys in einem File. Angreifer besitzt ab jetzt jedes System, das du besitzt. Dauert 90 Sekunden. Dauert 6 Monate, bis du das Vertrauen zurück hast.

memory

Dependency-CVE → Remote Code Exec

Dein Server gehört ab jetzt jemand anderem

Dein AI-Tool installiert ein veraltetes Package mit RCE-Advisory. Shodan + automatisierte Scanner finden es in Stunden, laden einen Cryptominer oder Ransomware-Loader auf deine Box, pivotieren in die DB. Alles über eine Library, die du nie bewusst gewählt hast.

Ablauf eines Breaches

Wie eine Lovable-App auf BreachForums landet — Schritt für Schritt.

Nicht hypothetisch. Das ist die exakte Sequenz, die wir jede Woche rekonstruieren, wenn nachts um 3 ein Founder panisch mailt.

  1. 1T + 0h

    Du shippst ein neues Feature

    Cursor generiert eine "user profiles"-Tabelle. Die Tabelle entsteht, der REST-Endpoint wird angeschlossen — und RLS wird vergessen. Im Browser funktioniert alles. Du deployst.

  2. 2T + 4h

    Ein Scanner findet dich

    Automatisierte Bots durchsuchen das Netz nach neuen Deploys. Sie diffen dein JS-Bundle, extrahieren Supabase-URL und Anon-Key, und proben /rest/v1/ auf Tabellen ohne RLS. Deine antwortet mit Daten.

  3. 3T + 5h

    Die Tabelle wird exfiltriert

    Ein curl mit ?select=*&limit=100000 und der Angreifer hat deine komplette Profiles-Tabelle — Mails, Telefonnummern, was auch immer du speicherst. Gezippt, verschlüsselt, von deinen Servern weg.

  4. 4T + 3 Tage

    Der Dump wird verkauft

    Der Dump taucht auf BreachForums, Telegram-Kanälen, Russian-Market-Listings auf. Preis: $200 für den kompletten Datensatz. Dutzende Käufer laden runter. Er zirkuliert ab jetzt für immer.

  5. 5T + 6 Wochen

    Du erfährst es auf Twitter

    Ein User screenshottet seine Mail in einem Leak-Checker, taggt dich. Jetzt hast du eine Meldepflicht, ein DSGVO-Bussgeld-Risiko, eine Mailingliste wütender Kunden und keine Ahnung, wann es eigentlich passiert ist.

notifications_active

Was Pantra bei T + 4h getan hätte

Unser täglicher Scan trifft denselben REST-Endpoint wie der Angreifer. Er erkennt die RLS-Lücke an der neuen Tabelle binnen eines Scan-Fensters, mailt dir "CRITICAL: user_profiles ohne Auth lesbar" und liefert dir das exakte SQL, um sie zu schliessen — bevor die Bots ihre Runde beenden.

Daily Security Monitoring — in jedem Plan enthalten

Mach weiter mit Vibe Coding. Wir wachen über Bruchstellen.

Wenn du mit Lovable, Cursor, Bolt oder v0 baust, shippst du täglich. Jeder Push kann aus Versehen Security brechen — RLS bei einer neuen Tabelle vergessen, ein API-Key im Client-Bundle, Security-Header nach einem Redeploy weg. Pantra scannt deine Site jede Nacht und mailt dich nur an, wenn wirklich ein kritisches oder hoch-priorisiertes Problem auftaucht.

Warum Vibe Coder das brauchen

  • check_circleAI-Tools regenerieren Code — neue Tabellen landen ohne RLS, Auth-Guards verschwinden stillschweigend.
  • check_circleEin einziger Prompt kann deine Server-Config umschreiben und CSP oder HSTS kippen — du merkst es nicht.
  • check_circleDeploys passieren täglich. Ohne Monitoring merkst du es 6 Wochen später — wenn die Daten schon draussen sind.
  • check_circleKein Daily-Report-Spam. Mail kommt nur wenn wirklich etwas Kritisches oder Hoch-Priorisiertes neu ist.

Was wir täglich prüfen

lock
Supabase RLS & Auth
Row Level Security auf jeder Tabelle, Auth-Probe gegen den REST-Endpoint.
key_off
Offengelegte Secrets
Scan nach Stripe-, OpenAI-, AWS-, Supabase-Service-Keys in JS-Bundles und öffentlichen env-Files.
https
HTTPS & Zertifikat
Gültiges SSL-Zertifikat, HTTP→HTTPS-Redirect, modernes TLS, Mixed-Content-Check.
shield
Security Headers
CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.
folder_off
Sensible Pfade
Öffentlicher Zugriff auf /.env, /.git, /config, Backup-Files, Debug-Endpoints.
dns
DNS-Security
SPF, DMARC, CAA Records — schützt deine Domain vor Spoofing und Zertifikats-Missbrauch.
cookie
Cookies & Ressourcen
HttpOnly-, Secure-, SameSite-Flags; Subresource-Integrity bei externen Skripten.
visibility_off
Information Disclosure
Source Maps, Debug-Header, Stack-Traces, Kommentare mit TODOs oder Credentials.
Ein einmaliger Scan reicht nicht

Ein grüner Score heute heisst nicht grüner Score morgen.

AI-Coding-Tools regenerieren Code bei jeder Änderung. Eine neue Tabelle wird ohne RLS ausgeliefert. Ein "Fix Auth"-Prompt degradiert die Security-Header. Ein Redesign wirft das Schema raus. Ohne Monitoring merkst du es 6 Wochen später — in einem Telegram-Dump oder einem Google-Ranking-Crash.

warning

Ohne Monitoring

  1. 1Tag 1: du shippst einen Audit-Fix — Score 85.
  2. 2Tag 3: AI fügt ein Feature hinzu das RLS überspringt.
  3. 36 Wochen später: jemand dumped deine User-Tabelle auf einem Telegram-Channel.
autorenew

Mit täglichem Monitoring

  • check_circleTäglicher Full-Scan in jedem Plan — Agency läuft 2× pro Tag
  • check_circleE-Mail-Alert sobald ein kritisches Finding auftaucht
  • check_circleScore-Verlauf — SEO / Security / GEO über die Zeit
  • check_circleDiff zwischen Scans — du siehst genau was regressiert ist
  • check_circleFang es in Tagen, nicht in Monaten
Dein Stack

Baust du mit [Tool]? Wir sprechen deinen Stack.

Jeder Vibe-Coder hat eigene blinde Flecken. Pantra erkennt den Stack und liefert Fix-Prompts im richtigen Dialekt.

Lovable

SEO, Security & GEO Audit für Lovable-Apps

Audit startenarrow_forward

Cursor

SEO, Security & GEO Audit für Cursor-gebaute Apps

Audit startenarrow_forward

Bolt

SEO, Security & GEO Audit für Bolt.new-Apps

Audit startenarrow_forward

v0

SEO, Security & GEO Audit für v0-Apps

Audit startenarrow_forward

Replit

SEO, Security & GEO Audit für Replit-Agent-Apps

Audit startenarrow_forward
Ach ja — und auch SEO & AI-Visibility

Weil eine sichere Site, die keiner findet, immer noch ein umstürzender Baum im leeren Wald ist.

Security ist die Headline — aber jeder Pantra-Scan läuft zusätzlich einen vollen SEO-Audit (Meta, Schema, Core Web Vitals, Sitemap, Headings) und einen GEO-Audit für ChatGPT, Perplexity und Google AI Overviews. Fix-Prompts inklusive.

search

SEO-Audit

Meta-Tags, Canonical, Schema, Sitemap, robots.txt, Core Web Vitals, Alt-Texte, interne Links. Bewertet 0–100.

smart_toy

GEO-Audit (AI-Visibility)

AI-Crawler erlaubt, llms.txt, Q&A-Schema, SSR-Content, Bing-Verification. Damit ChatGPT & Perplexity dich tatsächlich zitieren.

Komplette SEO- + GEO-Features ansehenarrow_forward
smart_toy

Wie AI wählt was empfohlen wird

AI-Engines crawlen das Web auf der Suche nach strukturiertem, zitierbarem, server-gerendertem Content. Seiten mit Schema, FAQ-Blöcken und llms.txt ranken höher im AI-Citation-Index. Hat eine Engine gelernt eine Quelle zu zitieren, zitiert sie weiter — für den gleichen Query-Typ — bei Millionen von Usern.

Preise

Drei Pläne. Keine Testversion. Keine Überraschungen.

Monatlich zahlen, jederzeit kündigen. MWST wird von Lemon Squeezy nach deinem Land berechnet.

Starter

Für Solo Vibe Coder

$19/mo
Jetzt starten
  • check1 Projekt
  • checkTäglicher Security-Audit + Monatlicher GEO-Audit
  • checkSEO-Strategie-Generator
  • checkStack-spezifische Fix-Prompts für Lovable, Cursor, Bolt, v0
  • checkEmail-Alerts bei neuen kritischen Findings
  • check30 Tage History · Trust-Badge Pflicht
Beliebteste

Pro

Für Indie-Devs mit mehreren Apps

$79/mo
Jetzt starten
  • check5 Projekte
  • checkAlles aus Starter
  • check365 Tage History
  • checkTrust-Badge entfernbar
  • checkGoogle Search Console Integration
  • checkMonitoring-Toggle pro Projekt

Agency

Für Agenturen & Power User

$199/mo
Jetzt starten
  • check15 Projekte
  • checkAlles aus Pro
  • checkUnbegrenzte History
  • check5 Team-Seats
  • checkTrust-Badge entfernbar
  • checkPriority Support

Jederzeit kündbar. Keine Rückfragen.

Roadmap

Wohin deine Alerts als Nächstes gehen

Email-Alerts gibt es heute. Diese Kanäle sind in Arbeit — vote mit und wir bauen zuerst, was du brauchst.

chat

Slack-Alerts

Bald

Neue kritische Findings direkt in deinen Team-Channel — Fix-Prompt zum Kopieren inklusive.

forum

Discord-Alerts

Bald

Webhook in deinen Indie-Hacker- oder Community-Server. Gleiches Payload wie Slack, Discord-natives Format.

send

Telegram-Bot

Bald

Push-Notification aufs Handy, sobald eine Regression in Production auftaucht.

webhook

Generische Webhooks

Bald

Komplettes Finding-JSON per POST an jeden Endpunkt. Pantra in dein eigenes Incident-Tooling einbinden.

bolt

Make.com + Zapier

Bald

Szenarien auslösen, wenn ein neues Critical-Issue auftaucht — Ticket eröffnen, Kunden benachrichtigen, On-Call paginieren.

api

Public API

Bald

Programmatischer Zugriff auf Scans, Findings und Deltas. Teil des Enterprise-Plans — in Beta für Agency.

Stimmen

Vertraut von Vibe Codern weltweit

Indie Hacker, SaaS-Founder und Agenturen nutzen Pantra für audit-sichere Sites.

starstarstarstarstar

Hat ein kritisches Supabase-RLS-Leck in meiner Lovable-App in unter 10 Sekunden gefunden. Der Fix-Prompt hat in Cursor sofort funktioniert.

J

Jonas M.

Indie Hacker · Lovable

starstarstarstarstar

Der GEO-Audit hat gezeigt, dass meine Site für ChatGPT unsichtbar war. Zwei Prompts später erscheine ich in AI-Antworten.

S

Sarah K.

SaaS-Founderin · v0

starstarstarstarstar

Wir laufen Pantra auf jeder Kunden-Site vor dem Handoff. Daily-Scans plus SMS-Alerts — der Agency-Plan rentiert sich beim ersten Projekt.

M

Marc D.

Agency Lead · Bolt + Cursor

starstarstarstarstar

Das Daily Monitoring hat die Regression am Morgen nach einem Lovable-Update erkannt, die alle Meta-Tags zerschossen hat. Hätte wochenlang Traffic gekostet.

P

Priya R.

Solo Founderin · Lovable

Starte deinen ersten Audit in 8 Sekunden

Gratis. Keine Anmeldung. Keine Kreditkarte.

Site scannenarrow_forward