BETA O Shoulder está em beta — Os resultados às vezes podem estar incorretos. Seu feedback molda o que corrigimos a seguir. Compartilhar feedback
Shoulder.dev

Inteligência de Ameaças para Desenvolvedores

Voce detecta erros de seguranca da IA antes que sejam publicados.

Execute o Shoulder localmente para ver vulnerabilidades reais em segundos e corrigi-las antes que cheguem a producao.

Estamos em uma fase inicial. Os resultados às vezes estarão incorretos. Seu feedback molda o que corrigimos a seguir.

Voce nao desacelera. Voce ganha controle.

Teste um repositório público Instalar Shoulder CLI
$ npm install -g @shoulderdev/cli
~/github.com/appsecco/dvna
$ shoulder trust
BASELINE: CRITICAL
30 routes analyzed · 7 reachable issues
/bulkproductslegacy — unsafe deserialization
req.files → serialize.unserialize()
Crafted payload may trigger code execution
/ping — command execution
req.body → exec()
Command execution on server
/bulkproducts — unsafe output
req.query → res.render()
Script execution in user browser
4 more issues · See full analysis →
Análises reais

Ver impacto real

Aplicativo Node.js vulnerável 30 rotas analisadas · 7 problemas exploráveis Abrir análise Pacote malicioso Script de instalação, ofuscação e risco do mantenedor Abrir análise Commit malicioso Fluxo de release comprometido e caminho de código malicioso Abrir análise

Verifique uma vulnerabilidade ou escaneie um repositorio GitHub

Cole um pacote, CVE ou URL do GitHub

Alertas de maior risco
Alertas recentes no ecossistema
BETA

What you can scan in beta today

Shoulder is in active development. These are the languages and ecosystems we support right now — everything else is on the roadmap.

Languages
  • JavaScript
  • TypeScript
  • Python
  • Go
Ecosystems
  • npm
  • PyPI
  • Go modules
What we are confident in today
  • Detecting auth removal and route exposure changes in JavaScript / TypeScript
  • Showing source → sink data flows on supported routes
  • Catching packages with active malware or critical alerts on npm and PyPI before install
  • Flagging dormant packages that suddenly change maintainers, add install scripts, or pull in new transitive risk
  • Detecting capability changes — shell, network, env-var sweeps, dynamic eval — introduced in new versions
  • Resolving version specs (e.g. ^4.2.0) to the release that actually installs, then checking that release against ecosystem intel
  • Surfacing install scripts, obfuscation, account age, and maintainer-risk signals on each dependency
What we are still learning
  • Coverage outside web frameworks and HTTP routes

Working on something else?

We are expanding language and ecosystem coverage with our design partners. If your stack is not in the list, work with us directly to shape what comes next.

Become a design partner

A IA aumenta sua producao. Tambem aumenta seu risco.

A IA aumenta sua produção. Ela não aumenta a profundidade da revisão humana. É nessa lacuna que a confiança se quebra.

O que os revisores veem
  • Um diff, uma função renomeada e um teste passando
  • Alguns arquivos mudados dentro de um sistema muito maior
  • Código que parece razoável de forma isolada
O que a Shoulder calcula
  • Ver quando uma rota privada se torna pública
  • Saber quando a cobertura de autenticação cai nos seus endpoints
  • Detectar dependências suspeitas antes de serem executadas
  • Rastrear entrada não confiável até bancos de dados, shells e eval

Menos tempo tentando adivinhar se uma mudança assusta. Mais certeza sobre o que ela realmente alterou.

Construido para como voce realmente trabalha

Voce usa IA para se mover mais rapido. A IA pode serializar sem validacao, ignorar verificacoes de autenticacao, introduzir caminhos de injecao e usar aleatoriedade fraca. Shoulder detecta o que a IA deixa passar para voce publicar com confianca.

Diff
System Graph
Trust Delta
Enforcement
One change, one trust delta

Removed auth from an export endpoint

A small diff can quietly turn an admin-only action into a public attack path. This is the gap Shoulder closes.

Diff

app.post('/admin/export', exportData) replaces app.post('/admin/export', requireAuth, exportData).

System graph

The route loses its auth guard and becomes reachable from an unauthenticated request path.

Trust delta

Auth coverage drops and a previously protected data export becomes a new public capability.

Enforcement

Flag the change before merge, show the exact route affected, and block the release until access control is restored.

Você não está revisando o output da IA.

Você está verificando o que ela realmente fez.

Inteligência de confiança do ecossistema

Verifique qualquer pacote contra o histórico de mantenedores, anomalias de download, scripts de instalação e sinais de malware conhecidos.

shoulder trust --ecosystem
$ shoulder trust --ecosystem
Checking dependency: @shoulderdev/malware-demo
Install scriptdetected
Obfuscated codedetected
Account age3 days
Ecosystem alertmalicious
⚠ Do not install
See full briefing →

Saiba o que cada mudança realmente fez.

Voce ve vulnerabilidades no seu codigo e dependencias. Voce recebe orientacao clara de remediacao.

O código permanece local
Análise determinista
Mesmo resultado em cada execução
Funciona com qualquer modelo ou autor humano
Disponivel via npm

Shoulder CLI

Voce ve vulnerabilidades no seu codigo e dependencias. Voce recebe orientacao clara de remediacao.

Instalar CLI →
Ativo

Threat Centre

Voce consulta qualquer vulnerabilidade, pacote ou CVE. Voce recebe evidencias e orientacao baseadas em codigo real.

Explorar Centro de Ameacas →

Transparencia constroi confianca

Voce pode ler como o Shoulder funciona antes de instala-lo. Publicamos a logica de deteccao. Documentamos cada regra. Explicamos cada decisao.

Construído pela equipe por trás do Katacoda

Construímos o Katacoda, a plataforma de aprendizado interativo usada pela Red Hat, HashiCorp e Kubernetes, adquirida pela O'Reilly Media. Mesma equipe. Mesma abordagem: encontrar o momento em que os desenvolvedores hesitam e remover a incerteza.

Leia a história completa → Ler o relatorio de transparencia

A IA aumenta a quantidade de codigo que voce publica. Shoulder aumenta a quantidade em que voce pode confiar.

Ler o relatorio de transparencia →
Trabalhe conosco como parceiro de design

A IA aumenta a velocidade. Shoulder aumenta o controle.

Instale o CLI. Comece a escanear em segundos. Seja o desenvolvedor que se move rapido e permanece seguro.

npm install -g @shoulderdev/cli
Instalar Shoulder CLI →
A IA aumenta a quantidade de codigo que voce publica. Shoulder aumenta a quantidade em que voce pode confiar. Binarios do CLI sao verificados por checksum.