A Guarita vasculha seu app do jeito que um invasor faria — só que antes dele. Em 60 segundos você recebe cada brecha em português claro e o conserto pronto pra colar na IA que você já usa.
Sem cartão · sem instalar nada · resultado na hora
Ela escreve rápido, não escreve seguro. Estas são as portas que a Guarita mais flagra destrancadas em apps buildados com IA — e uma delas provavelmente está aberta no seu agora.
OPENAI_API_KEY = "sk-live-…"→ Abrem o DevTools, copiam a chave e torram milhares de reais na sua conta — em horas, enquanto você dorme.
Access-Control-Allow-Origin: *→ Qualquer site da internet faz requisição logado como o seu usuário. É tapete vermelho pra roubo de sessão.
Supabase · RLS: disabled→ Sem Row Level Security, um visitante baixa a tabela inteira: e-mails, dados dos seus usuários, tudo.
Content-Security-Policy: (ausente)→ Sem os cabeçalhos básicos, injetam script na sua página e sequestram a sessão de quem loga.
A Guarita flagra essas quatro — e roda mais de 30 verificações — em 60 segundos. E não para no diagnóstico: entrega o conserto de cada uma. No Pro, ainda inclui o pré-diagnóstico de LGPD (rastreadores, consentimento e transferência internacional). Rodar uma ronda grátis →
Nada de instalar agente, plugar repositório ou cadastrar cartão. Colou, a ronda parte.
Cada brecha vira um objetivo em português de gente, ordenado pelo que pode te custar mais caro.
Todo objetivo vem com o prompt de correção pronto. É colar, rodar e revisar.
Cada ronda vira uma Missão: o que está em risco, por quê e o conserto pronto pra colar. Isto é o que você recebe — e pode mexer: marque um objetivo e veja o risco cair.
no relatório real, cada conserto derruba o risco assim
Sua chave secreta (a OPENAI_API_KEY) foi parar no JavaScript que vai pro navegador — qualquer um abre o DevTools e lê.
Com a chave na mão, fazem chamadas na sua conta e a fatura é sua. É das brechas que mais aparecem em apps feitos com IA — e a mais cara.
Encontrei uma chave de API sensível exposta no JavaScript do front-end. Mova essa chave para uma variável de ambiente no servidor, crie um endpoint backend que faça a chamada usando a chave com segurança, e atualize o front para chamar esse endpoint em vez de usar a chave diretamente. Remova a chave do código do cliente.
Os outros te entregam uma lista de problemas em jargão e somem. A Guarita faz o contrário: cada brecha vem com um prompt pronto pra colar na IA que você já usa. Ela conserta — você só revisa e segue buildando.
Meu app aceita requisições de qualquer site (CORS com origin "*"), o que é um risco de segurança. Ajuste a configuração de CORS no backend para permitir apenas a origem do meu próprio domínio de produção e o localhost de desenvolvimento. Mantenha credenciais habilitadas só para essas origens e bloqueie o resto.
Cole, mande rodar e revise. Você não precisa saber consertar — só conferir que ficou pronto. ✓
▸ a ronda não para
“Achei que meu app tava redondo. A Guarita achou minha chave do Stripe exposta em 40 segundos. Colei o prompt no Cursor e resolvi antes do café.”
“Não entendo nada de segurança. Pela primeira vez li um relatório inteiro e entendi cada linha — e ainda veio o conserto pronto pra colar.”
“Me orçaram R$ 22 mil de pentest. Rodei a Guarita, fechei o crítico sozinho no mesmo dia e levei só o resto pro dev — com contexto.”
Depoimentos do programa de acesso antecipado da Guarita
R$ 15.000–50.000
R$ 0 pra começar
A Guarita não substitui uma auditoria completa — ela cobre o que invasores tentam primeiro, todos os dias, por uma fração do preço.
Descubra hoje o que está exposto.
Começar grátisPro builder solo que quer o conserto pronto.
Assinar StarterO favorito de quem leva o app a sério.
Assinar ProPra agências e times com vários apps.
Assinar BusinessSim. A ronda faz verificações de leitura — os mesmos sinais que qualquer pessoa vê de fora do seu app — sem explorar nada nem alterar dados. E só roda em apps seus, com a sua autorização.
Não — esse é o ponto. Cada brecha vem explicada em português de gente e com o prompt de conserto pronto. Você cola na sua IA, ela corrige, você revisa.
Funciona com qualquer app que tenha uma URL pública, não importa onde nasceu. Aliás, é exatamente nesses apps que a Guarita mais flagra portas abertas.
A ronda básica é ilimitada e de graça pra sempre: ela flagra o que está exposto no seu app, sem cartão. A tradução em português de gente + o prompt de conserto pronto (análise com IA) vêm nos planos pagos, a partir de R$ 79/mês.
No Pro e no Business, sim: junto da ronda de segurança ela roda um pré-diagnóstico técnico de LGPD — política de privacidade e encarregado, rastreadores e cookies antes do consentimento, transferência internacional de dados e direitos do titular. Cada achado vem com o artigo da lei e o prompt de conserto. É um pré-diagnóstico técnico pra te dar norte, não um atestado de conformidade nem parecer jurídico — quem fiscaliza é a ANPD.
Melhor notícia do dia — e o relatório ainda lista o que você JÁ acertou (sim, a gente elogia). Com o Plantão ligado (planos pagos), a Guarita segue de olho: se um deploy ou uma ronda agendada futura abrir alguma porta, você fica sabendo antes de todo mundo.
A Guarita continua de plantão. Do Starter pra cima, ela roda sozinha numa ronda agendada (diária ou semanal) e te avisa por e-mail se algo abrir. No Pro e no Business, também dispara a cada deploy do seu app (via CI/CD) — pra pegar a brecha no instante em que o código muda.
Sim — dois cliques no portal, sem multa, sem contrato, e garantia de devolução integral em 7 dias. Cancelou? A conta vira Free e a ronda básica continua funcionando.
Leva 60 segundos pra pôr a Guarita de plantão no seu app. A ronda básica é ilimitada e de graça — você descobre hoje o que está exposto. Sem cartão.
Pôr a Guarita de plantão →