beta.pill beta.stripText beta.stripCta
Shoulder.dev

Inteligencia de Amenazas para Desarrolladores

Ve lo que tu código realmente hace.

Prueba cualquier repo público de GitHub — un servidor MCP, un paquete npm, una skill de IA. Ve la cobertura de autenticación, rutas de riesgo y señales de dependencias antes de instalar o integrar.

Acepta URLs de GitHub o formato owner/repo. Funciona con cualquier repo público.

Ve resultados reales

Cada demo es un repo real. Elige uno, ve lo que Shoulder detecta.

shoulder diff JavaScript

Inyección SQL en una línea

Un desarrollador reemplaza una consulta parametrizada con concatenación de cadenas. Shoulder lo detecta al instante.
shoulder diff JavaScript

Proxy de IA sin protecciones

Clave API hardcodeada, URL controlada por el usuario, sin límite de tasa — tres hallazgos de un solo atajo.
shoulder scan JavaScript

API vulnerable — postura completa

SQLi, auth faltante, sin límite de tasa, exposición de credenciales. Todo lo que está mal con esta API en un solo escaneo.
shoulder scan --ecosystem JavaScript

Dependencia maliciosa

No es un bug de código — es un ataque a la cadena de suministro. Shoulder detecta lo que las herramientas SAST no ven.
Browse all 12 demo repos See the malware-demo package on npm

Lo que verás

Perfil de confianza

Cobertura de autenticación, rutas públicas vs. protegidas y dónde falla la confianza.

Rutas de ataque

Rutas confirmadas desde la entrada del usuario hasta ejecución peligrosa — SQL, shell, eval, deserialización.

Señales del ecosistema

Riesgo de dependencias, confianza de mantenedores y patrones sospechosos de paquetes.

¿Quieres escanear tus propios proyectos? Instala el CLI — se ejecuta localmente y tu código fuente nunca sale de tu máquina.

npm install -g @shoulderdev/cli