45%
kódu generovaného AI obsahuje alespoň jednu bezpečnostní chybu.
Veracode, analýza 4M+ skenů napříč 100+ LLM (2025).
Zabezpečení pro kód, který napsala vaše AI.
Cursor, Claude Code, Copilot a autonomní agenti píší 46 % nového kódu. A 45 % z něj obsahuje zranitelnosti. Plexicus Vibe Coding Security je zachytí v IDE – dříve, než se stanou CVE.
Zdarma až pro 3 vývojáře. Bez kreditní karty. Funguje v Cursor, Claude Code, VS Code, Windsurf.
Průkopnické týmy už jsou uvnitř
Proč teď
Hrozba, na kterou nemáte nástroj – zatím.
Každé číslo na této stránce je citováno. Jsme v nové kategorii, takže na číslech záleží.
~20%
importů navržených AI odkazuje na balíčky, které neexistují. Útočníci je již registrují.
Výzkum Slopsquatting, 2025–2026.
46%
nového kódu odeslaného v repozitářích s Copilotem je vytvořeno AI.
Telemetrie používání GitHub Copilot, 2025.
35
CVE přisuzovaných AI zveřejněných za jediný měsíc – oproti 6 o dva měsíce dříve.
Georgia Tech Vibe Security Radar, březen 2026.
Schopnosti
Pět schopností. Jedna instalace.
Skutečné snímky obrazovky, skutečné stavové štítky. Žádná schopnost netvrdí víc, než co dnes dodává.
Zastavte zranitelnosti v okamžiku generování.
Váš SAST běží při commitu. Váš SCA běží při PR. Do té doby je nezabezpečený kód již napsán, zkontrolován unaveným člověkem a sloučen. Vibe coding je rychlejší než obojí.
-
Instaluje se jako rozšíření v Cursor, Claude Code, VS Code, Windsurf a Zed. -
Zachycuje návrhy v reálném čase — blokuje pevně zakódovaná tajemství, vzory s vypnutým RLS, CORS wildcardy, top 15 CWE. -
Přepisuje návrh nebo výzvu. Běží na zařízení, takže váš kód nikdy neopustí notebook.
Commit, který by odeslal Stripe klíč, nyní odesílá odkaz na správce tajemství — bez zásahu vývojáře.
Jediná vrstva, která zachází s MCP servery jako s dodavatelským řetězcem.
Každé IDE, které nyní používáte, se připojuje k MCP serverům s téměř rootovským přístupem k vašim repozitářům, ticketům a chatu. MCP tržiště již byla otrávena. Většina týmů nedokáže vyjmenovat MCP, které jejich vývojáři nainstalovali.
-
Průběžný inventář každého MCP serveru na vývojáře, na repozitář, na organizaci. -
Skenuje popisy nástrojů na injekce a vzory 'rug pull'. Označuje MCP, které po schválení změní chování. -
Sandboxuje provádění MCP, omezuje rychlost volání a automaticky opravuje, když se objeví CVE jako 2026-30615.
Při týdenním auditu týmy obvykle objeví 3–5× více nainstalovaných MCP, než o kterých jejich bezpečnostní oddělení vědělo.
Zachyťte balíčky, které neexistují – dříve, než je útočníci zaregistrují.
Modely sebevědomě importují balíčky, které nikdy nebyly publikovány. Útočníci sledují trend a během hodin registrují tato jména. Až váš asistent příště jeden navrhne, bude škodlivý.
-
Ověřuje každý import npm, PyPI, Cargo a Go proti skutečnému registru v reálném čase. -
Označuje balíčky publikované za posledních 30 dní, jejichž názvy připomínají populární knihovny (typosquatting + slopsquatting). -
Detekuje, když importovaná funkce neodpovídá skutečnému API knihovny – což je známka halucinovaného kódu.
Plexicus udržuje proprietární databázi názvů balíčků, které modely nejčastěji halucinují. Každý týden je chytřejší.
Chyby, které SAST nevidí – ty, které skutečně unikají data.
Největší incidenty vibe-kódování za posledních 12 měsíců nebyly SQL injection. Byly to autorizace: Row-Level Security zakázáno, BOLA (Broken Object Level Authorization), endpointy, které zapomínají zkontrolovat aktuálního uživatele. SAST to všechno přehlíží.
-
Analýza dosažitelnosti proti pravidlům Supabase, Postgres RLS a Firebase — mapuje, které politiky jsou skutečně vynucovány. -
Cílené fuzzing pro BOLA / IDOR pomocí pentest agenta Plexicus (Strix). -
Simulace toku: může uživatel A dosáhnout na data uživatele B? Pokud ano, dostanete PoC, ne jen upozornění.
Na typické aplikaci generované AI s backendem Supabase odhalí Plexicus chyby autorizace hned první den, které nástroje SAST nikdy neoznačí.
Podepište každý řádek kódu jeho původem.
EU AI Act, Cyber Resilience Act, DORA, NIS2 — všechny se sbíhají na stejnou otázku: který řádek vašeho dodaného kódu byl napsán kterým modelem, s jakým promptem, v jakém datu? Dnes to nikdo nedokáže odpovědět.
-
Každý blok kódu je označen v době generování: člověk vs AI, název modelu, hash promptu, časové razítko. -
Exportuje AIBOM v rozšířeném formátu SPDX / CycloneDX — připraveno k auditu. -
Dashboard CISO: jaké % produkčního kódu je generováno AI, kterými modely, s jakým rizikovým profilem na model.
Exportujte jediné PDF pro váš příští audit DORA, NIS2 nebo AI Act. Auditor přestane klást otázky.
Platforma
Není to jen plugin do Cursoru. Je to platforma AppSec.
Vibe Coding Security běží na plné platformě ASPM Plexicus. Jedna smlouva pokrývá kód, závislosti, tajemství, infrastrukturu, API a agentem řízený pentest — to vše sjednoceno naším remediacním agentem Codex Remedium, který za vás otevře PR.
SAST SCA Tajemství IaC DAST Strix pentest agent
ASPM
Správa stavu zabezpečení aplikací napříč celým vaším kódem.
Learn moreCSPM
Správa stavu zabezpečení cloudu pro každý runtime.
Learn moreZabezpečení kontejnerů
Zabezpečení obrazů, registrů a runtime pro kontejnerový stack.
Learn moreJiž jste zákazníkem Plexicus? Vibe Coding Security je k dispozici jako modul — žádné nové zavádění, žádný druhý dashboard.
Integrace
Funguje tam, kde už vaši vývojáři pracují.
Jedna instalace, každé IDE a repo, které váš tým již používá. Není nutná migrace.
IDEs a Coding Assistants
Cursor 
Claude Code 
Copilot 
Codex 
Kiro 
Lovable 
v0 
Antigravity Repos a CI
Důkaz
Výzkum, tracker, tým.
Výzkumná zpráva
Stav Vibe Coding Security — 2026
Analyzovali jsme tisíce AI-generovaných commitů napříč open-source projekty. 45 % obsahuje alespoň jednu chybu. Zde je kompletní rozpis — podle modelu, podle jazyka, podle CWE.
Stáhnout zprávuŽivý tracker
Hrozby MCP zachycené tento měsíc
Živý počítadlo, aktualizované týdně: nová MCP CVE zveřejněná, tržiště, kde jsme detekovali otravu, incidenty rug-pull, kterým se zákazníci Plexicus vyhnuli.
Zobrazit trackerCitace zákazníka
Schopnost AI agenta automaticky generovat opravy zranitelností transformovala náš pracovní postup.
David Wilson
Head of Security, HuMaIND
FAQ
Často kladené otázky
Co je Vibe Coding Security?
Vibe Coding Security je kategorie AppSec navržená pro kód generovaný nástroji AI, jako jsou Cursor, Claude Code, Copilot a autonomní agenti. Kombinuje IDE guardrails, bezpečnostní skenování MCP, detekci halucinovaných balíčků, analýzu authz a původ AI kódu (AIBOM).
Jak se liší od tradičního SAST?
Tradiční SAST běží při commitu nebo PR – poté, co byl nezabezpečený kód již napsán a zkontrolován. Plexicus zasahuje v IDE, v cyklu prompt/návrh, takže se špatné vzorce nikdy nedostanou do repozitáře.
Která IDE a coding asistenti jsou podporováni?
Dnes jsou podporovány Cursor, Claude Code, VS Code, Windsurf a Zed. JetBrains se připravuje. Vše běží s rozšířením Plexicus a funguje offline – váš kód nikdy neopustí notebook.
Co je AIBOM?
AI Bill of Materials: podepsaný manifest, který uvádí, které řádky kódu napsal který model, s jakým promptem a v jakém čase. Odpovídá na otázky compliance, které neustále kladou DORA, NIS2 a EU AI Act.
Musím nahradit své stávající nástroje AppSec?
Ne. Vibe Coding Security je modul postavený na plné platformě Plexicus ASPM. Používejte jej společně se stávajícími SAST/SCA nástroji, nebo je nahraďte enginy Plexicus – je to na vás.
Je možné začít zdarma?
Ano. Zdarma až pro 3 vývojáře, bez nutnosti zadávat platební kartu. Až budete potřebovat všech pět schopností, přejděte na Team.
Jak funguje detekce slopsquattingu?
Každý import, který váš AI asistent navrhne, je v reálném čase zkontrolován proti skutečnému registru balíčků. Pokud balíček neexistuje, byl publikován v posledních 30 dnech s podezřelým názvem nebo jeho API neodpovídá importované funkci, Plexicus jej zablokuje a nabídne opravu.
VIBE CODING SECURITY
Nedoručujte zranitelnosti, které napsala vaše AI.
Plexicus je zachytí v IDE, v PR i v produkci. Vaši vývojáři nezpomalí. Váš CISO bude zase spát.
Zdarma až pro 3 vývojáře. SOC 2 Typ II. Podpořeno programem Google for Startups.