Sieh, was dein Code wirklich tut.
Teste jedes öffentliche GitHub-Repo — einen MCP-Server, ein npm-Paket, einen AI-Skill. Sieh Auth-Abdeckung, Risikopfade und Abhängigkeitssignale bevor du installierst oder integrierst.
Echte Ergebnisse sehen
Jede Demo ist ein echtes Repo. Wähle eines aus und sieh, was Shoulder findet.
SQL-Injection in einer Zeile
Ein Entwickler ersetzt eine parametrisierte Abfrage durch String-Konkatenation. Shoulder erkennt es sofort.
→KI-Proxy ohne Schutzmaßnahmen
Fest codierter API-Schlüssel, benutzergesteuerte URL, kein Rate-Limiting — drei Funde aus einer Abkürzung.
→Verwundbare API — vollständige Postur
SQLi, fehlende Auth, kein Rate-Limiting, Credential-Exposition. Alles, was mit dieser API nicht stimmt, in einem Scan.
→Bösartige Abhängigkeit
Kein Code-Bug — ein Supply-Chain-Angriff. Shoulder erkennt, was SAST-Tools übersehen.
→Was du sehen wirst
Vertrauensprofil
Auth-Abdeckung, öffentliche vs. geschützte Routen und wo das Vertrauen zusammenbricht.
Angriffspfade
Bestätigte Pfade von Benutzereingabe zu gefährlicher Ausführung — SQL, Shell, Eval, Deserialisierung.
Ökosystem-Signale
Abhängigkeitsrisiko, Maintainer-Vertrauen und verdächtige Paketmuster.
Möchtest du deine eigenen Projekte scannen? Installiere das CLI — es läuft lokal und dein Quellcode verlässt nie deinen Rechner.
npm install -g @shoulderdev/cli