AI Security Audit
Veilige AI-app, vanaf dag een
Pentest voor Lovable, Supabase, Next.js en Vercel. AI-coding-tools zoals Lovable, Bolt en Cursor leveren snel. Standaard zonder RLS, met exposed keys en open realtime-channels. Wij testen je app zoals een aanvaller dat doet, leveren reproduceerbaar bewijs en een fix-PR per vondst.
Audit-principes
Onze audit-principes
Zes principes die elke AI-security-audit van AIFAIS leiden.
Zero-trust standaard
We testen of je app blijft staan zonder een ingelogde gebruiker. Anon-rol leest niets, schrijft niets, ziet geen realtime stream. Standaard bij AI-generators ontbreekt dit.
Bewezen attack-paden
We runnen wat aanvallers daadwerkelijk doen: PATCH op profiles.role, anon-INSERT op leads, Realtime subscribe op gevoelige tabellen, prompt-injection in AI-agents.
AI-stack expertise
Next.js, Supabase, Vercel, Lovable, Bolt, Cursor, v0. We kennen waar deze tools standaard onveilig genereren en welke fixes je echt nodig hebt.
Reproduceerbaar bewijs
Elke vondst: curl-command, response-body, getroffen rijen, severity. Geen 'het kan onveilig zijn' maar 'hier zijn de 1.422 PII-records die ik nu kan downloaden'.
Fix-PR meegeleverd
Bij elke KRITIEK-vondst leveren we een Pull Request met de fix (RLS-policy, middleware-check, JWT-claim). Jij merge't, wij hertesten binnen 48 uur.
Vendor-onafhankelijk
We adviseren wat veilig is, niet wat we kunnen verkopen. Geen WAF-abonnement, geen jaarcontract. Een audit, een rapport, klaar.
Vergelijking
AIFAIS vs traditioneel pentest-bureau
Hoe onze AI-stack-native audit zich verhoudt tot legacy pentest-bureaus.
| Aspect | Traditioneel pentest-bureau | AIFAIS |
|---|---|---|
| Stack-kennis | Java, .NET, legacy on-prem | Next.js, Supabase, Vercel, Lovable, Bolt, Cursor |
| Doorlooptijd MKB-app | 4 tot 8 weken offerte plus plan plus test | 48u quick-scan tot 5 dagen full-pentest |
| Rapport-output | 80-pagina generiek PDF | Concrete fix-PR per vondst plus PDF-rapport |
| Prijs voor MKB-app | EUR 8.000 tot 25.000 | EUR 500 quick-scan, EUR 2.500 full-audit |
| AI-stack-vondsten | Missen vaak RLS, Realtime-leak, prompt-injection | Systematisch gevonden in 5 van 5 cases |
| Hertest na fix | Aparte offerte, na 2 weken | Binnen 48u na merge van fix-PR |
Dekking
Dekking frameworks
Elke audit mapt op erkende frameworks plus onze eigen Supabase RLS- en Realtime-checklist.
OWASP Top 10
Web-app baseline
We dekken de volledige OWASP Top 10 2021: broken access control, cryptografie, injectie, design-fouten, misconfiguraties, kwetsbare componenten, identificatie en logging.
Supabase RLS-audit
Per tabel plus Realtime
Row-Level Security per tabel, Realtime publication-rechten, Storage-policies en Edge Function-grants. De vijf attack-paden waar AI-generators standaard mis gaan.
AVG / GDPR
Datalek-meldplicht
Een lek bij anon-key dat 1.000+ records exposeert is een datalek met meldplicht binnen 72 uur. Wij vinden het voor de Autoriteit Persoonsgegevens dat doet.
NIS2-richtlijn
Essentiele diensten
NIS2 is in NL omgezet via Cyberbeveiligingswet (oktober 2024). Voor essentiele en belangrijke entiteiten geldt een security-management-verplichting plus incident-meldplicht.
FAQ
Veelgestelde vragen over AI-security-audits
Wat kost een security-audit voor mijn Lovable, Bolt of Supabase-app?
Een quick-scan kost EUR 500 en levert binnen 48 uur een rapport met de top-3 risico's plus een fix-PR voor de meest kritieke. Een volledige audit kost EUR 2.500 en levert binnen 5 dagen alle attack-paden, een PDF-rapport, fix-PRs en een hertest na 48 uur. Voor enterprise-projecten maken we een offerte op maat.
Wat is RLS en waarom is dat belangrijk?
RLS staat voor Row-Level Security: regels in de database die bepalen welke rijen een gebruiker mag zien of wijzigen. Supabase zet RLS niet automatisch aan op nieuwe tabellen. Bij vijf van vijf audits vonden we tabellen die zonder login leesbaar of bewerkbaar waren. Dit is de meest voorkomende KRITIEK-vondst in AI-gegenereerde apps.
Hoe snel kunnen jullie starten?
Binnen een werkdag na akkoord en NDA. We hebben geen lange offerte-rondes, geen kick-off-meeting, geen plan-fase. We krijgen je staging-URL of productie-URL plus een test-account en starten direct. Eerste bevindingen meestal binnen 24 uur.
Wat als jullie iets KRITIEK vinden in productie?
We melden het direct via versleuteld kanaal, NIET in de PDF die later komt. Voor KRITIEK-vondsten leveren we binnen 24 uur een fix-PR plus mitigatie-advies (bijvoorbeeld endpoint tijdelijk dichtzetten in WAF). Bij datalek-risico adviseren we ook over de 72-uur AP-meldplicht.
Pentesten jullie ook AI-agents, Claude Code-skills en MCP-servers?
Ja. AI-agents en MCP-servers hebben unieke risico's: prompt-injectie, tool-misbruik, key-leak via system-prompt, ongeautoriseerde tool-calls. We hebben hier eigen test-methoden voor ontwikkeld parallel aan onze webapp-pentests.
Waarom AIFAIS voor AI-gegenereerde apps?
Wij bouwen zelf elke dag met dezelfde tools (Claude Code, Lovable, Cursor, v0) en kennen de standaard-onveilige patronen uit eigen ervaring. Traditionele pentest-bureaus testen vooral legacy Java en .NET-systemen en missen RLS, Realtime-publicatie en prompt-injectie. Wij vinden in vijf van vijf cases vondsten die zij missen.
Gebaseerd op 6 reviews
Elian van Leeuwen
12 mei 2026
Erg goede service en verstand van zaken
Erg goede service en verstand van zaken. Ik ben goed geholpen met een SEO plan voor mijn bedrijf.
Patrick de Ree
5 mei 2026
Nieuw CRM systeem is erg mooi geworden
Nieuw CRM systeem is erg mooi geworden. De looks, functionaliteiten met admin panel was perfect uitgevoerd naar mijn wens. Ik kan alleen maar zeggen, bedankt voor de fijne samenwerking.
Adviesbureau Skandara
17 februari 2026
AIFAIS heeft ons binnen een week (!) geholpen
AIFAIS heeft ons binnen een week (!) geholpen met het automatiseren van bedrijfsprocessen. De heren zijn heel goed bereikbaar en gaan ervoor. Bedankt!
R
14 februari 2026
Echt meedenken en top resultaat
Wij werken nu enkele maanden samen met dit AI-bedrijf en eerlijk gezegd zijn we echt positief verrast. Faissal en Mark hebben vanaf het begin met ons meegedacht, gewoon praktisch, van A tot Z, over wat er beter en slimmer kon in ons werk. Ze hebben meerdere systemen voor ons gebouwd en dat merken we elke dag. Dingen die eerst veel tijd kostten gaan nu gewoon automatisch, dat scheelt echt enorm.
Emma van Wiggen
8 februari 2026
Tevreden
Tevreden. Ze hebben een nieuwe website gebouwd en is nu vindbaar voor AI zoekmachines.
Adam Adam
29 januari 2026
De heren hebben mijn website met AI geïntegreerd
De heren hebben mijn website met AI geïntegreerd en de chatbot werkt goed, het weet precies welke informatie gezegd moet worden tegen de klanten.
5 bewezen pentests / NL-stack expertise / Fix-PR meegeleverd
Start met een gratis security-call van 15 minuten. We bekijken je app live en wijzen direct de top-3 risico's aan.