Executando verificação de segurança...
Em resposta a Pitch: Lançei a PluZ.fm - uma rádio online com múltiplos canais ao vivo e interativa (buscando feedbacks)
1
Nerdseverino

Não leve como crítica, foque em melhorar os pontos levantados:

Sim, tem cara de vibe-code clássico. Vários sinais
apontam para isso:

Evidências de "vibe-code" sem maturidade de

segurança

Código gerado por IA/template sem revisão:

  • URL de dev vazada no bundle de produção (
    localhost:3000/api/auth) — quem faz code review não
    deixa isso passar
  • Header x-powered-by: Next.js ativo — é
    literalmente uma linha pra desabilitar e todo
    tutorial de hardening menciona
  • Zero headers de segurança (HSTS, CSP, X-Frame-
    Options) — o Cloudflare oferece isso com 3 cliques,
    não configuraram
  • DNSSEC desabilitado — padrão do Cloudflare é
    oferecer, precisa só ativar

Stack "copiar e colar":

  • NextAuth + Discord OAuth — é o tutorial mais
    popular do YouTube/Next.js - Google AdSense + GTM com DoubleClick + Remarketing
    — setup padrão de template de monetização,
    provavelmente colaram o snippet sem entender o que o
    GTM carrega
  • Tailwind + Lucide icons + Radix UI — stack exata que o v0.dev/Cursor/Bolt gera
  • Estrutura de componentes (ClientLayout,
    ChannelCardGrid, AutoSelectMasterChannel) — nomes
    genéricos típicos de geração por IA

Painel admin exposto no robots.txt:

  • /admin/ listado ali é um convite. Quem tem experiê
    ncia não expõe isso — ou protege com auth + IP
    whitelist, ou nem coloca no robots
    Image proxy sem sanitização aparente:
  • /api/image-proxy?url= é um vetor de SSRF clássico.
    Qualquer dev com noção de segurança sabe que
    precisa de allowlist de domínios. Isso tem cara de "precisei de proxy pra CORS, o ChatGPT me deu esse c
    ódigo"

Economia virtual + zero proteção:

  • Sistema de moedas, VIP, loja — tudo sem que a
    infraestrutura básica de segurança esteja no lugar.
    Colocaram a feature antes da fundação

Domínio de 10 dias + Termos/Privacidade gerados no mesmo dia:

  • Os documentos legais são claramente gerados por IA
    — cobrem tudo perfeitamente mas não têm CNPJ, DPO,
    endereço. Template puro
    ## O padrão é claro

Ideia → v0/Cursor/Bolt gera o frontend
→ NextAuth tutorial do YouTube
→ "cola o GTM e AdSense pra monetizar"
→ Deploy na Vercel/Cloudflare
→ Compra domínio .fm (bonito pra rádio)
→ Gera Termos e Privacidade com IA
→ Publica
→ Segurança? "Depois a gente vê"

Veredicto

Não parece malicioso intencionalmente — parece algué
m que quer montar uma comunidade de rádio e usou IA
pra gerar tudo rápido, sem ter conhecimento de
segurança web. O problema é que:

  • O tracking pesado do GTM (remarketing,
    DoubleClick, HID) provavelmente foi habilitado sem o
    dev saber o que está carregando
  • O Discord OAuth entrega dados reais do usuário
    para uma aplicação sem proteções básicas - Se alguém explorar o image proxy ou o admin panel,
    os dados dos usuários ficam expostos
  • A economia virtual sem fundação de segurança é
    receita pra exploit

É o tipo de projeto que funciona bonito no demo, masque um pentest de 30 minutos derruba. Risco real
pra quem faz login com Discord ali.

Carregando publicação patrocinada...