beta.pill beta.stripText beta.stripCta
Shoulder.dev

Inteligência de Ameaças para Desenvolvedores

Veja o que seu código realmente faz.

Teste qualquer repositório público do GitHub — um servidor MCP, um pacote npm, uma skill de IA. Veja cobertura de autenticação, caminhos de risco e sinais de dependências antes de instalar ou integrar.

Aceita URLs do GitHub ou formato owner/repo. Funciona com qualquer repositório público.

Ver resultados reais

Cada demo é um repositório real. Escolha um e veja o que o Shoulder detecta.

shoulder diff JavaScript

Injeção SQL em uma linha

Um desenvolvedor substitui uma consulta parametrizada por concatenação de strings. Shoulder sinaliza instantaneamente.
shoulder diff JavaScript

Proxy de IA sem proteções

Chave de API hardcoded, URL controlada pelo usuário, sem limitação de taxa — três descobertas de um único atalho.
shoulder scan JavaScript

API vulnerável — postura completa

SQLi, auth ausente, sem limitação de taxa, exposição de credenciais. Tudo que está errado com esta API em um único scan.
shoulder scan --ecosystem JavaScript

Dependência maliciosa

Não é um bug de código — é um ataque à cadeia de fornecimento. Shoulder detecta o que ferramentas SAST perdem.
Browse all 12 demo repos See the malware-demo package on npm

O que você verá

Perfil de confiança

Cobertura de autenticação, rotas públicas vs. protegidas e onde a confiança falha.

Caminhos de ataque

Caminhos confirmados da entrada do usuário até execução perigosa — SQL, shell, eval, deserialização.

Sinais do ecossistema

Risco de dependências, confiança de mantenedores e padrões suspeitos de pacotes.

Quer escanear seus próprios projetos? Instale o CLI — ele roda localmente e seu código-fonte nunca sai da sua máquina.

npm install -g @shoulderdev/cli