Jak jsme připravili wellness SaaS na Series A auditem vibe-coded kódu a převzetím AI komponent.

Audit jsme rozdělili na čtyři vrstvy: aplikační kód v TypeScriptu a Next.js, datovou vrstvu Supabase (PostgreSQL, pgvector pro embeddings, Row Level Security politiky), AI komponenty a infrastrukturu. V kódu jsme procházeli ručně 38 nejdůležitějších route handlers a Server Actions a doplnili jsme automatizovanou statickou analýzu (Semgrep s vlastními pravidly pro Supabase a Next.js). Datovou vrstvu jsme prošli s důrazem na RLS politiky pro 14 tabulek - z toho ve třech jsme našli politiky příliš liberální, dvě tabulky neměly RLS aktivní vůbec, a u dvou endpointů jsme prokázali, že přijímají uživatelský vstup do raw SQL bez parametrizace. Bezpečnostní část obsahovala kontrolu secrets v repozitáři a build pipelines, kde jsme našli, že tři env proměnné včetně service role klíče Supabase byly exponované v klientském JS bundle, dále jsme provedli základní web pen-test (OWASP Top 10 v aplikované formě) a kontrolu závislostí přes npm audit a Snyk. AI komponenty - doporučovač plánů a personalizace notifikací - jsme analyzovali z pohledu prompt injection, kvality embeddings (bylo použito výchozí OpenAI text-embedding-3-small bez doménového testu), retry logiky a nákladového stropu. Refactor pokrýval 2 AI moduly přepsané do produkčně udržitelné podoby s testy, parametrizovanými dotazy, observabilitou přes Logflare a explicitním rate limitem na uživatele i tenanta. Due diligence balíček obsahoval auditní report s 17 nálezy a CVSS skóre, mapu kódu (ručně psaný vs. AI vygenerovaný), AI strategii a roadmapu pro investorský deck, popis architektury, návrh DPA šablony pro budoucí B2B klienty a doporučení k procesu code review po Series A. Na naší straně projekt vedl tech lead s jedním AI inženýrem a jedním security inženýrem na 0,5 FTE, na straně klienta byl protějškem zakladatel zároveň v roli CTO.

Kick-off proběhl prvního týdne října 2024 dvoudenním deep-dive nad repozitářem a Supabase prostředím. První dva týdny auditu byly zaměřené na ruční revizi kritických cest a nasazení Semgrep pravidel, na konci druhého týdne jsme měli předběžnou listu 9 medium nálezů a tým začal pracovat na opravě, paralelně s pokračujícím auditem. Třetí týden přinesl hlavní překvapení: při testu jednoho admin endpointu jsme prokázali SQL injection přes parametr filtru, který obcházel Prisma layer ručně sestavovaným SQL, a o den později jsme našli druhý podobný vzor v exportu reportů. Tento nález posunul harmonogram - dohodli jsme s klientem, že před investorovou návštěvou musí být oba endpointy plně opravené a re-testované, takže jsme přidali třídenní cílený re-test a doplnili pravidlo do CI pipeline, které ručně skládané SQL detekuje. Čtvrtý týden auditu jsme uzavřeli reportem s 14 medium a 3 high nálezy a předali ho zakladateli a investorovi paralelně s konsolidovaným remediation planem. Druhá polovina projektu (listopad - prosinec 2024) byla věnována refactoru obou AI komponent: doporučovač jsme přepsali na ohraničenou pgvector dotazovou logiku s deterministickým fallbackem a personalizace notifikací dostala explicitní prompt template a logiku rate limitingu nákladu na úrovni tenantu (OpenAI volání). Předání proběhlo v polovině prosince 2024 - dodali jsme finální due diligence balíček, runbook pro produkční incidenty a třídenní zaškolení dvou interních vývojářů. Investor podepsal term sheet v lednu 2025 a startup pokračuje s námi v rámci AI Expert on Demand spolupráce na 0,4 FTE, kde dále stabilizujeme produkční provoz a chystáme druhou fázi AI komponent.