Voyez ce que votre code fait réellement.
Testez n'importe quel repo GitHub public — un serveur MCP, un paquet npm, une skill IA. Voyez la couverture d'authentification, les chemins de risque et les signaux de dépendances avant d'installer ou d'intégrer.
Voir des résultats réels
Chaque démo est un vrai repo. Choisissez-en un, voyez ce que Shoulder détecte.
Injection SQL en une ligne
Un développeur remplace une requête paramétrée par une concaténation de chaînes. Shoulder le détecte instantanément.
→Proxy IA sans protection
Clé API codée en dur, URL contrôlée par l'utilisateur, pas de limitation de débit — trois découvertes d'un seul raccourci.
→API vulnérable — posture complète
SQLi, auth manquante, pas de limitation de débit, exposition de credentials. Tout ce qui ne va pas avec cette API en un seul scan.
→Dépendance malveillante
Pas un bug de code — une attaque de la chaîne d'approvisionnement. Shoulder détecte ce que les outils SAST manquent.
→Ce que vous verrez
Profil de confiance
Couverture d'authentification, routes publiques vs. protégées et où la confiance s'effondre.
Chemins d'attaque
Chemins confirmés de l'entrée utilisateur à l'exécution dangereuse — SQL, shell, eval, désérialisation.
Signaux de l'écosystème
Risque de dépendances, confiance des mainteneurs et modèles de paquets suspects.
Vous voulez scanner vos propres projets ? Installez le CLI — il s'exécute localement et votre code source ne quitte jamais votre machine.
npm install -g @shoulderdev/cli