Jouw app gebouwd
met AI.
Veilig genoeg
om te lanceren?

Koppel je GitHub-repo. Wij scannen op security-bugs, geleakte secrets, AVG-issues en de patronen die Lovable, Bolt en Cursor systematisch fout laten. Per bevinding een AI fix-prompt — plak in Cursor of Claude.

Scan mijn repo — €99 Hoe werkt het
35 checks per scan, incl. live data-probe
14 dagen gratis rescannen
0 byte code opgeslagen
vibecodecheckpro.nl/scans/019e5958-...
miransweb/webvooragents-demo
Scan rapport
D
13 bevindingen 4 security · 5 vibecode · 4 compliance
high
Privacy-policy ontbreekt
vbc:no-privacy-policy
high
CORS staat op wildcard
vbc:cors-wildcard server.js:30
medium
Silent try/catch
vbc:silent-catch app.js:169
medium
Geen cookie-policy
vbc:no-cookie-policy
+9 Open volledig rapport
de scan

Vijf scanners, één rapport.
Inclusief live data-probe.

vibecheck — scanning miransweb/your-app
$ vbc scan miransweb/your-app → cloning repo... done → scanning for secrets & leaked credentials... done → static code analysis (26 vibecode-rules)... done → compliance checks (AVG + AI-Act)... done → live data-probe (Supabase/Firebase)... done → AI-tailored fix-prompts (Tier 1)... done   [critical] vbc:next-public-secret .env.local:4 Stripe sk_live_ exposed via NEXT_PUBLIC_* [high] vbc:cors-wildcard server.js:30 Access-Control-Allow-Origin: '*' [high] vbc:jwt-in-localstorage Login.tsx:42 JWT in localStorage (XSS-bait) [high] vbc:no-privacy-policy — AVG: geen privacy-policy gevonden [high] vbc:no-ai-disclosure — AI-Act: AI-tools gebruikt zonder disclosure ... 8 more   Score: D | 13 findings | view full report →
workflow

Drie stappen.
Meer is niet nodig.

Geen abonnement. Geen account-onboarding van een half uur. Eén knop voor de scan, één om de fix te kopiëren.

01 — VERBIND

Koppel je repo aan onze GitHub App

Login met GitHub. Installeer onze App, en selecteer per repo welke je wil laten scannen. We krijgen alleen read-only toegang op die specifieke repo's — niet op je hele account.

OAuth + GitHub App Read-only Per-repo opt-in
02 — SCAN

Diepe analyse in een geïsoleerde container

Je code wordt gekloond in een container zonder netwerk, gescand met onze 35-punts engine (26 vibecode-rules + 8 compliance-checks + 1 live data-probe). De data-probe doet één read-only call tegen je Supabase of Firebase backend om aan te tonen of je data daadwerkelijk publiek leesbaar is. Container wordt daarna vernietigd — we slaan geen broncode op, alleen de bevindingen.

--network=none --read-only Code direct gewist
03 — FIX

Plak de prompt in Cursor of Claude

Elke bevinding krijgt een kant-en-klare AI fix-prompt in gewoon Nederlands, geen jargon. Eén knop kopieert. Eén prompt in je editor. Jouw AI rolt de fix uit — jij hoeft alleen te reviewen en pushen.

Per finding One-click copy Tool-agnostisch
scope

Drie domeinen.
Eén rapport.

Generieke security-scanners checken één van de drie. Wij doen ze allemaal — en kennen specifiek de patronen die AI-tools genereren.

VIBECODE

De fouten die AI-tools systematisch maken

Supabase service-role-keys in client-bundled code. NEXT_PUBLIC_* env-vars met live Stripe-keys. Stripe webhooks zonder signature-verificatie. JWT in localStorage. CORS op wildcard. Hardcoded admin-checks. Negen patronen die Lovable, Bolt en v0 standaard genereren — en die je AI-editor niet als probleem aanmerkt.

SECURITY

Industriestandaard, in gewoon Nederlands

API-keys, tokens en wachtwoorden in code. SQL injection. XSS. Onveilige file-uploads. SSRF. Verouderde dependencies met bekende CVE's. De bekende OWASP-categorieën — maar uitgelegd zonder jargon en met een fix-prompt die je kunt kopiëren.

COMPLIANCE

AVG + AI-Act — wat je een boete kan kosten

Privacy-policy ontbreekt? Cookie-banner zonder consent-tracking? Tracking-scripts zonder DPA? AI-Act vereist sinds februari 2026 dat je users weten dat ze met AI-gegenereerde software werken — en jij bent verantwoordelijk. Geen andere security-tool checkt dit: onze AVG/AI-Act checks zijn uniek.

pricing

Eén prijs.
Geen abonnement.

Vibecoders bouwen 1-2 apps. Daar past een eenmalige scan bij, niet maandlasten waar je elke keer over moet nadenken.

Pay-per-scan
€99/scan
  • Volledige repo-scan — security, secrets, code-kwaliteit
  • 9 vibecode-patronen — Tier 1-3 rules
  • AVG & AI-Act compliance
  • AI fix-prompt per bevinding
  • 14 dagen ongelimiteerd rescannen
  • Code direct na scan verwijderd
  • PDF-export van rapport
Scan mijn repo

Een developer inhuren voor dezelfde audit kost €500 tot €2000+ en duurt dagen. Een AVG-boete loopt vaak in de tienduizenden.

Je betaalt eenmalig €99 en krijgt een rapport met alle bevindingen, geprioriteerd op severity, met per finding een AI fix-prompt die je direct kunt kopiëren. Veertien dagen lang kun je gratis rescannen — handig terwijl je fixes doorvoert. Daarna wordt de scan-data in onze database geanonimiseerd.

Geen kleine lettertjes. Geen verplichte upgrade naar een hoger plan.

faq

Veelgestelde vragen.
Twijfels eerst eruit.

Voor wie is deze scan precies?

Voor mensen die hun app met AI-tools hebben gebouwd — Lovable, Bolt, Cursor, v0, Replit, Windsurf — en zich afvragen of het veilig genoeg is om te lanceren, aan klanten aan te bieden, of door investeerders te laten zien. Geen development-team nodig. Geen security-kennis vereist.

Per bevinding krijg je een AI fix-prompt die je in Cursor of Claude plakt. Je AI doet de fix, jij hoeft alleen te reviewen en pushen.

Hoe is dit anders dan de scan die Lovable zelf doet?

Lovable's ingebouwde scan is een vinkje in hun eigen dashboard, gericht op hun platform. Wij staan los van Lovable en kijken specifiek naar de patronen die AI-tools systematisch fout doen — patronen die we hebben verzameld uit duizenden gescande vibecode-apps.

Het belangrijkste verschil: wij doen een live data-probe. We pakken je publieke Supabase- of Firebase-key uit je frontend en doen een echte API-call om aan te tonen of je data daadwerkelijk publiek leesbaar is. Andere scanners zeggen "je hebt een probleem". Wij zeggen "kijk, hier is je data — zichtbaar voor iedereen".

Wat doen jullie met mijn code?

Je code wordt gekloond in een geïsoleerde container zonder netwerk-toegang, gescand, en direct daarna vernietigd. We slaan geen broncode op — alleen de bevindingen (rule-id, file-pad, regel-nummer, severity).

Na 14 dagen worden ook de file-paden en code-snippets uit het rapport geanonimiseerd. Alleen geaggregeerde tellingen blijven dan voor onze productie-statistieken.

Waarom kost het €99?

Een handmatige security-audit door een ontwikkelaar kost €500 tot €2000+ en duurt dagen. Een datalek of AVG-boete loopt in de tienduizenden. Voor €99 krijg je een rapport met 35 specifieke checks, AI-tailored fix-prompts per bevinding, en — uniek — live bewijs of je Supabase/Firebase data publiek leesbaar is.

Eenmalig. Geen abonnement. 14 dagen lang onbeperkt gratis rescannen op dezelfde repo, handig terwijl je fixes doorvoert.

Hoe lang duurt een scan?

Meestal binnen enkele minuten. We doen een diepgaande analyse — 26 vibecode-rules, 8 compliance-checks, een live data-probe, en daarna schrijft Claude per kritieke bevinding een gepersonaliseerde fix-prompt op basis van je échte code. Dat kost meer tijd dan een oppervlakkige URL-scan, en dat is precies de bedoeling.

Je krijgt een email zodra het rapport klaar is. Geen reden om in de browser te blijven wachten.

Welke stacks ondersteunen jullie?

De vibecode-rules zijn specifiek gemaakt voor het soort apps dat AI-tools genereren: JavaScript, TypeScript, React, Next.js, Vue, Vite, Astro. Met diepe kennis van Supabase en Firebase als backends.

We scannen ook Python, PHP en SQL-migrations. Voor pure backend-projecten krijg je vooral de generieke security-checks en compliance-rules — de "vibecode-specifieke" rules zijn vooral relevant als je een AI-gegenereerde frontend hebt.

Kan ik rescannen nadat ik fixes heb doorgevoerd?

Ja. 14 dagen lang gratis onbeperkt op dezelfde repo, vanaf de eerste betaalde scan. Triggert exact dezelfde scan opnieuw en laat zien of je score verbeterd is — handig om je voortgang te tracken terwijl je de fix-prompts doorzet.

Na 14 dagen is het een nieuwe scan (€99). De window verlengt niet automatisch met elke rescan, dus je hebt 14 dagen vanaf het eerste moment.

Wat als de scan niks ernstigs vindt?

Dan krijg je een rapport met een hoge score (A of B) en het bewijs dat we hebben gekeken naar 35 specifieke patronen die AI-tools fout laten. Voor sommige vibecoders is dat juist het belangrijkste resultaat: een onafhankelijk audit-rapport dat je kunt laten zien aan klanten, partners of investeerders.

Hoe trek ik jullie toegang in?

Ga naar github.com/settings/installations, zoek VibeCodeCheck Pro, en klik "Uninstall". Dat is alles.

Wij krijgen alleen read-only toegang tot de repo's die jij selecteert tijdens installatie — niet je hele account. Tussen scans door doen we niets met je repo's; we vragen pas een installation-token aan op het moment dat je een scan triggert.

Klaar te zien hoe
je app er echt voor staat?

Pas betalen als je de scan triggert. Geen abonnement, geen verstopte kosten.

Scan mijn repo nu