BETA Shoulder está en beta — Los hallazgos a veces pueden ser incorrectos. Tu feedback da forma a lo que arreglamos a continuación. Compartir comentarios
Shoulder.dev

Inteligencia de Amenazas para Desarrolladores

Tú detectas errores de seguridad de la IA antes de que lleguen a producción.

Ejecuta Shoulder localmente para ver vulnerabilidades reales en segundos y corregirlas antes de que lleguen a producción.

Estamos en una fase temprana. Los hallazgos a veces serán incorrectos. Tu feedback da forma a lo que arreglamos a continuación.

Tú no te detienes. Tú ganas control.

Probar un repo público Instalar Shoulder CLI
$ npm install -g @shoulderdev/cli
~/github.com/appsecco/dvna
$ shoulder trust
BASELINE: CRITICAL
30 routes analyzed · 7 reachable issues
/bulkproductslegacy — unsafe deserialization
req.files → serialize.unserialize()
Crafted payload may trigger code execution
/ping — command execution
req.body → exec()
Command execution on server
/bulkproducts — unsafe output
req.query → res.render()
Script execution in user browser
4 more issues · See full analysis →
Análisis reales

Ver impacto real

Aplicación Node.js vulnerable 30 rutas analizadas · 7 problemas alcanzables Abrir análisis Paquete malicioso Script de instalación, ofuscación y riesgo del mantenedor Abrir análisis Commit malicioso Flujo de release comprometido y ruta de código maliciosa Abrir análisis

Verifica una vulnerabilidad o analiza un repositorio de GitHub

Pega un paquete, CVE o URL de GitHub

Alertas de mayor riesgo
Alertas recientes en el ecosistema
BETA

What you can scan in beta today

Shoulder is in active development. These are the languages and ecosystems we support right now — everything else is on the roadmap.

Languages
  • JavaScript
  • TypeScript
  • Python
  • Go
Ecosystems
  • npm
  • PyPI
  • Go modules
What we are confident in today
  • Detecting auth removal and route exposure changes in JavaScript / TypeScript
  • Showing source → sink data flows on supported routes
  • Catching packages with active malware or critical alerts on npm and PyPI before install
  • Flagging dormant packages that suddenly change maintainers, add install scripts, or pull in new transitive risk
  • Detecting capability changes — shell, network, env-var sweeps, dynamic eval — introduced in new versions
  • Resolving version specs (e.g. ^4.2.0) to the release that actually installs, then checking that release against ecosystem intel
  • Surfacing install scripts, obfuscation, account age, and maintainer-risk signals on each dependency
What we are still learning
  • Coverage outside web frameworks and HTTP routes

Working on something else?

We are expanding language and ecosystem coverage with our design partners. If your stack is not in the list, work with us directly to shape what comes next.

Become a design partner

La IA aumenta tu producción. También aumenta tu riesgo.

La IA aumenta el output. No aumenta la profundidad de la revisión humana. En esa brecha es donde se rompe la confianza.

Lo que ven los revisores
  • Un diff, una función renombrada y una prueba que pasa
  • Unos pocos archivos cambiados dentro de un sistema mucho mayor
  • Código que parece razonable de forma aislada
Lo que calcula Shoulder
  • Ver cuándo una ruta privada se vuelve pública
  • Saber cuándo cae la cobertura de autenticación en tus endpoints
  • Detectar dependencias sospechosas antes de que se ejecuten
  • Rastrear entrada no confiable hasta bases de datos, shells y eval

Menos tiempo adivinando si un cambio da miedo. Más certeza sobre lo que realmente cambió.

Diseñado para como realmente trabajas

Usas IA para ir más rápido. La IA puede serializar sin validación, saltar verificaciones de autenticación, introducir rutas de inyección y usar aleatoriedad débil. Shoulder detecta lo que la IA pasa por alto para que despliegues con confianza.

Diff
System Graph
Trust Delta
Enforcement
One change, one trust delta

Removed auth from an export endpoint

A small diff can quietly turn an admin-only action into a public attack path. This is the gap Shoulder closes.

Diff

app.post('/admin/export', exportData) replaces app.post('/admin/export', requireAuth, exportData).

System graph

The route loses its auth guard and becomes reachable from an unauthenticated request path.

Trust delta

Auth coverage drops and a previously protected data export becomes a new public capability.

Enforcement

Flag the change before merge, show the exact route affected, and block the release until access control is restored.

No revisas la salida de la IA.

Verificas lo que realmente hizo.

Inteligencia de confianza del ecosistema

Verifica cualquier paquete contra el historial de mantenedores, anomalías de descarga, scripts de instalación y señales de malware conocidas.

shoulder trust --ecosystem
$ shoulder trust --ecosystem
Checking dependency: @shoulderdev/malware-demo
Install scriptdetected
Obfuscated codedetected
Account age3 days
Ecosystem alertmalicious
⚠ Do not install
See full briefing →

Sabe lo que cada cambio realmente hizo.

Ves vulnerabilidades en tu código y dependencias. Obtienes guía clara de remediación.

El código se queda local
Análisis determinista
Mismo resultado en cada ejecución
Funciona con cualquier modelo o autor humano
Disponible a través de npm

Shoulder CLI

Ves vulnerabilidades en tu código y dependencias. Obtienes guía clara de remediación.

Instalar CLI →
Activo

Threat Centre

Consultas cualquier vulnerabilidad, paquete o CVE. Obtienes evidencia y orientación basada en código real.

Explorar Centro de Amenazas →

La transparencia genera confianza

Puedes leer cómo funciona Shoulder antes de instalarlo. Publicamos la lógica de detección. Documentamos cada regla. Explicamos cada decisión.

Creado por el equipo detrás de Katacoda

Construimos Katacoda, la plataforma de aprendizaje interactivo utilizada por Red Hat, HashiCorp y Kubernetes, adquirida por O'Reilly Media. Mismo equipo. Mismo enfoque: encontrar el momento en que los desarrolladores dudan y eliminar la incertidumbre.

Lee la historia completa → Leer el informe de transparencia

La IA aumenta la cantidad de código que despliegas. Shoulder aumenta la cantidad en la que puedes confiar.

Leer el informe de transparencia →
Trabaja con nosotros como socio de diseño

La IA aumenta la velocidad. Shoulder aumenta el control.

Instala el CLI. Empieza a escanear en segundos. Sé el desarrollador que avanza rápido y se mantiene seguro.

npm install -g @shoulderdev/cli
Instalar Shoulder CLI →
La IA aumenta la cantidad de código que despliegas. Shoulder aumenta la cantidad en la que puedes confiar. Los binarios del CLI están verificados por checksum.