vibecodefixer.deTermin buchen
Speziell für Lovable-User

Deine Lovable-App klemmt
kurz vor Production?
Ich kenne die typischen Lovable-Macken.

Lovable-Preview läuft, Production-Build zerschießt. RLS-Policies auf USING(true), Service-Role-Keys in NEXT_PUBLIC_, Supabase-Auth halb fertig. Ich ziehe dein Repo, finde die Lovable-typischen Problemstellen und sage dir in 1–2 Tagen wie's zu fixen ist.

Termin buchen · 30 Min kostenlosGratis-Scan starten
Heute
Kickoff möglich
Festpreis
kein Stunden-Meter
Read-only
Repo-Zugang
Own Production
10.000+ Nutzer
vibecodefixer ─ debug --project=your-app
running
[--:--:--]INFOCloning repo from github.com/…/your-app
[--:--:--]INFOScanning 47 files · 8 API routes · 12 DB tables
[--:--:--]OKnext.config.ts validated
[--:--:--]ERRORStripe webhook signature verification missing
[--:--:--]WARNStripe test mode keys detected in production build
[--:--:--]ERRORSupabase connection pool at 60/60. Queries timing out
$

Live-Simulation · Zeilen sind Platzhalter, Muster sind echt.

Erkennst du dich?

Erkennst du dich in einer dieser Lovable-Situationen?

Klick an, was auf dich zutrifft. Dann weißt du's.

Was bei Lovable-Apps regelmäßig schiefgeht

Sechs Fehler, die ich in Lovable-Projekten fast immer finde.

Lovable generiert schnell viel Code. Viel davon funktioniert sofort, aber manche Defaults sind für Production ungeeignet. Hier was ich regelmäßig fixe:

Secrets

Dein Supabase-Service-Role-Key landet im Client-Bundle.

Warum: Lovable legt manchmal sensible Keys in NEXT_PUBLIC_-Variablen ab, weil das während der Entwicklung scheinbar funktioniert. Next.js bundelt alles mit NEXT_PUBLIC_-Prefix ins Browser-JavaScript.

Folge: Jeder Browser-Client sieht den Key. Script-Kiddies scannen Bundles, finden Keys, greifen deine DB an. DSGVO-Meldepflicht innerhalb 72h wenn Userdaten betroffen sind.

RLS

Deine RLS-Policies sind effektiv deaktiviert.

Warum: Lovable erzeugt oft Policies mit USING(true). Das liest sich wie "Zugriffskontrolle aktiviert", ist aber faktisch "alles erlaubt". Supabase-Dashboard zeigt grüne RLS-Badges, trotzdem ist die DB offen.

Folge: Jeder anonyme Request kann alle Tabellen lesen und schreiben. Der Angriff ist simpel: Supabase-URL plus anon-Key aus deinem Bundle ziehen, direkt an REST-API schreiben.

Build

Preview baut, Production bricht beim Deploy.

Warum: Lovable-Preview nutzt andere Env-Vars, andere Node-Versionen, andere Build-Steps als Vercel-Production. Das Bundle funktioniert in der Lovable-Sandbox, bricht aber bei echten Vercel-Builds.

Folge: Dein Live-Deploy geht nicht raus. Kunden sehen entweder die alte Version oder gar nichts. Du debuggst stundenlang ohne zu wissen wo das Problem liegt.

Auth

OAuth-Callback loopt in Production.

Warum: Lovable setzt Supabase-Auth-Flow auf lokale URLs. Nach dem Login-Redirect erwartet der Flow localhost oder die Preview-URL, landet aber auf deiner Production-Domain. Cookies sind nicht Secure, Domain stimmt nicht.

Folge: Login funktioniert "fast". Manche User kommen rein, andere nicht. Safari-User haben meist das Nachsehen. Du verlierst 30 % Login-Rate ohne es zu merken.

Scaling

Bei 30 Usern wird die App zäh.

Warum: Lovable generiert Code der bei einem User performant wirkt. Aber: keine Indexes auf den Queries, Connection-Pool wird nicht konfiguriert, N+1-Queries in den Listen. Bei Last bricht alles zusammen.

Folge: Dein viraler Moment (Product Hunt, Reddit) killt die App. Die Posts die dann reinkommen sind "doesn't even work lol".

Release

Apple lehnt ab, und du weißt nicht warum.

Warum: Lovable hat keinen iOS-Review-Kontext. Privacy-URL ist 404, App-Transport-Security blockt dein Backend, Permissions im Info.plist fehlen. Der Reviewer sagt nur "Datenschutz-Policy nicht erreichbar".

Folge: 3 Wochen Launch-Verzögerung. Jede Resubmission: 24-48 h Review-Wartezeit. Dein Launch-Momentum ist weg.

Jedes dieser Probleme ist debug-bar in 1–2 Tagen. Ich habe sie alle schon gesehen, mehrfach, in verschiedenen Lovable-Projekten.

Was ich mache

7 Bereiche. Pragmatisch durchgegangen.

Kein Bauchgefühl, aber auch kein Audit-Stempel. Ich gehe deine App gegen dieselben sieben Bereiche durch, damit du eine ehrliche Liste bekommst, was jetzt blockiert und was später brennt.

01

Production Readiness

Env-Separation, Logging (Sentry), Error-Boundaries, Deploy-Pipeline, Rollback-Strategie, Monitoring.

02

Database & Backend

Schema-Design, Indexes, Connection-Pooling, N+1-Queries, Migrations, RLS-Sanity-Check.

03

Payment & Auth

Stripe-Setup, Webhook-Signaturen, OAuth-Flow, Session-Handling, Cookie-Flags, Redirect-Whitelisting.

04

App Store & Deployment

iOS/Android-Release-Checks, Privacy-URL, Permissions, App-Transport-Security, typische Review-Hürden.

05

Performance & Scaling

Bundle-Größe, Image-Optimierung, Caching-Strategie, DB-Pooling, Ladezeit auf 3G.

06

Code-Qualität & KI-Red-Flags

TypeScript-Boundaries, halluzinierte API-Calls, inkonsistente Auth-Checks, Dependency-Hygiene.

07

Compliance Basics

Impressum/Datenschutz-Sanity-Check, Cookie-Setup, Server-Location. Nur technischer Hinweis. Keine Rechtsberatung, keine Haftung.

Ablauf

Kickoff heute. Report übermorgen.

Anfrage raus, meist noch am selben Tag am Telefon. Kickoff direkt danach, Report 48 h später. So läuft das konkret ab:

  1. 01

    Kurzer Kickoff-Call

    meist am selben Tag

    Du schreibst kurz was kaputt ist, ich rufe zurück, oft binnen Stunden. In 15 Min klären wir ob ich helfen kann. Wenn ja: Zugriffs-Checkliste direkt danach per Mail.

  2. 02

    Read-only-Zugänge

    ca. 30 Min deinerseits

    Lese-Zugriff auf GitHub-Repo und Supabase-Projekt. Kein Produktions-DB-Zugriff nötig, ich arbeite read-only.

  3. 03

    Debug-Sprint

    1–2 Arbeitstage

    Ich ziehe das Repo, reproduziere das Problem, grabe mich durch: Production-Readiness, DB, Payment/Auth, Release, Performance, Code-Qualität.

  4. 04

    Report & Übergabe-Call

    45 Min Call + PDF

    PDF mit priorisierten Problemen und Fix-Empfehlungen. Im Call gehen wir das Dringendste zusammen durch. Was als erstes angepackt werden sollte.

Preise

Festpreis. Kein Stunden-Meter. Kein Versteckspiel.

Drei Sprint-Größen, passend zum Tiefgang des Problems. Deep Dive und Full Reboot sind individuell kalkuliert, abhängig von Stack und Umfang. Umsetzungs-Sprint danach auf Anfrage, Festpreis pro Fix-Paket.

Quick Look

Du zeigst, ich gucke drüber, sage was Sache ist.

290 €
netto · einmalig · 1–2 Stunden
  • Screenshare-Session + kurzer schriftlicher Report
  • 3–5 Kern-Probleme, priorisiert
  • Konkrete Fix-Empfehlungen
  • 48 Stunden bis Report
Quick Look buchen
Empfohlen

Deep Dive

Der ehrliche Zweit-Blick auf dein Projekt.

auf Rücksprache
netto · Festpreis · 1 Arbeitstag
  • 1 Tag Debug-Sprint mit Repo-Zugang
  • PDF-Report mit priorisierten Problemen
  • Fix-Empfehlungen mit Code-Snippets
  • 45-Min Übergabe-Call
  • Aufwandsschätzung pro Problem
Deep Dive anfragen

Full Reboot

Wenn tiefer gegraben werden muss.

auf Rücksprache
netto · Festpreis · 2 Arbeitstage
  • Alles aus Deep Dive
  • 2 Tage tief im Code
  • Ausführliche Fix-Strategie
  • Release-Blocker explizit priorisiert
  • Vorbereitung für Umsetzungs-Sprint
Full Reboot anfragen
Umsetzung

Ich fixe es für dich.

Nach dem Debug-Sprint setze ich die priorisierten Fixes um. Festpreis pro Fix-Paket, klar definiertes Scope. Kein Stunden-Nachverhandeln.

auf Rücksprache
netto · Festpreis · 50 % upfront
FAQ

Die Fragen, die vor jedem Sprint kommen.

Wie schnell kann es losgehen?
Meistens noch am selben Tag. Ich antworte auf Mails binnen weniger Stunden, Kickoff-Call kriegen wir oft direkt in den Nachmittag. Der eigentliche Debug-Sprint startet dann sofort oder spätestens am nächsten Werktag.
Was brauchst du konkret von mir?
Read-only-Zugang zum GitHub-Repo und zum Supabase-Projekt. Optional: Vercel/Hosting-Zugang für Deploy-Konfiguration. Kein Produktions-DB-Schreibzugriff, keine Credentials.
Garantierst du, dass meine App danach läuft?
Vollständige Bug-Freiheit kann niemand seriös versprechen. Software ist ein Prozess. Was du bekommst: ehrliche Einschätzung was kaputt ist, konkrete Fix-Empfehlungen, und auf Wunsch testen wir die Umsetzung zusammen durch. Ich lass dich nicht mit dem Report allein sitzen.
Machst du auch die Fixes?
Ja, als separater Umsetzungs-Sprint nach dem Debug. Festpreis pro Fix-Paket, kein Stunden-Nachverhandeln. Nicht im Debug-Preis enthalten, damit wir beide klar wissen was wann bezahlt wird.
Testest du auch nach der Umsetzung mit?
Ja. Wenn du die Fixes selbst einspielst, können wir einen kurzen Verifikations-Call machen und zusammen durchgehen. Wenn ich die Umsetzung mache, ist Testing im Sprint inklusive.
Kann ich dich erstmal nur 30 Minuten testen?
Ja, Quick Look reicht für einen ersten Reality-Check. 1–2 Stunden Screenshare, kurzer Report mit 3–5 Problemen. Danach entscheidest du ob ein Deep Dive Sinn macht.
Was wenn du nichts findest?
Hab ich in vibe-coded Apps bisher noch nicht erlebt. Falls doch: Geld zurück.
Haftest du für falsche oder übersehene Probleme?
Der Report ist eine Debug-Einschätzung auf Basis von 1–2 Tagen Repo-Analyse. Keine Gutachten-Haftung für Dinge, die in der Zeit nicht gefunden werden konnten. Bei Umsetzung und Testing bin ich aber an deiner Seite. Details im Kickoff-Schreiben.
Was ist mit DSGVO?
Ich gucke kurz auf Impressum, Cookies, Server-Location und die üblichen technischen Stolperstellen. Keine Rechtsberatung. Für eine echte DSGVO-Prüfung geh zu einem Anwalt oder nimm einen spezialisierten Audit.
Welche Stacks kennst du?
Next.js, Supabase, Stripe, Vercel, iOS/Android-Release-Pipelines, OAuth-Flows, die typischen Eigenheiten von Lovable, Bolt, v0 und Cursor. Exotische Stacks vorher kurz im Kickoff klären.
Bekomme ich einen AVV?
Ja. Vor Beginn unterschreiben wir einen AVV nach Art. 28 DSGVO für den Repo-Zugang. Alle Daten bleiben in der EU und werden nach Projektende gelöscht.
Machst du auch Pen-Tests?
Nein. Debug-Sprint ist statische und konfigurationsbasierte Analyse. Ich lese Code, reproduziere Probleme, probe nicht aktiv Angriffe gegen deine laufende App. Wer Pen-Testing braucht, dem vermittle ich Kontakte.
Freie Slots diese Woche · ich melde mich oft binnen Stunden
Tim Cirksena
Tim Cirksena
fixt Vibe-Code seit 3 Jahren
leitet eigene SaaS mit 10.000+ Nutzern

Dein Code klemmt. Lass uns heute reden.

Schreib mir in 3 Sätzen was nicht funktioniert und welchen Stack du nutzt. Ich antworte meist noch am selben Tag und wir machen Kickoff, sobald es bei dir passt. Oft schon in den Nachmittag.

Termin buchen · 30 Min kostenlosOder per E-Mail
Antwortzeit
meist < 4 Stunden
Zugang
Read-only · AVV vor Start
Standort
Deutschland · EU