Variáveis de ambiente parecem um detalhe técnico, mas elas são as chaves do seu cofre. O problema? O Vercel e o Next.js têm uma convenção que é uma armadilha para os desatentos: o prefixo NEXT_PUBLIC_.
Se a sua STRIPE_SECRET_KEY começar com NEXT_PUBLIC_, ela acaba de se tornar pública. Literalmente.
O erro acontece no fluxo de desenvolvimento: a IA gera um código, o desenvolvedor precisa que a variável funcione no frontend e, sem pensar no risco, adiciona o prefixo.
O Checklist de Blindagem de Infra:
-
Privilégio Mínimo: O frontend nunca deve ter acesso direto a tokens de admin ou credenciais de banco de dados de backend.
-
Ambientes Estanques: Credenciais de desenvolvimento e produção devem ser diferentes. Se o seu banco de prod é acessível pelo deploy de preview, você está correndo um risco desnecessário.
-
Vazamento em Logs: Verifique se o seu provedor (Vercel/Railway) não está "printando" suas variáveis nos logs de build.
Se esse tipo de detalhe já apareceu no seu fluxo com IA, use o Mosai Scanner para conferir sinais públicos do domínio, headers e exposição que continuam visíveis de fora. Ao comprar o relatório completo, você recebe também o Guia Mosai como bônus educativo.
Audite suas variáveis hoje. Amanhã pode ser o dia que o limite do seu cartão de API acaba porque alguém achou sua chave no console do navegador.