45%
des KI-generierten Codes enthält mindestens eine Sicherheitslücke.
Veracode, Analyse von über 4 Millionen Scans bei über 100 LLMs (2025).
Sicherheit für den Code, den Ihre KI geschrieben hat.
Cursor, Claude Code, Copilot und autonome Agenten schreiben 46 % des neuen Codes. Und 45 % davon enthalten Schwachstellen. Plexicus Vibe Coding Security erkennt sie in der IDE – bevor sie zu CVEs werden.
Kostenlos für bis zu 3 Entwickler. Keine Kreditkarte erforderlich. Funktioniert in Cursor, Claude Code, VS Code, Windsurf.
Pioniere sind bereits dabei
Warum jetzt
Die Bedrohung, für die Sie noch kein Werkzeug haben – noch nicht.
Jede Zahl auf dieser Seite ist belegt. Wir befinden uns in einer neuen Kategorie, daher sind die Fakten entscheidend.
~20%
der KI-vorgeschlagenen Importe verweisen auf Pakete, die nicht existieren. Angreifer registrieren sie bereits.
Slopsquatting-Forschung, 2025–2026.
46%
des neuen Codes, der in Copilot-fähigen Repos ausgeliefert wird, stammt von KI.
GitHub Copilot Nutzungstelemetrie, 2025.
35
KI-zurechenbare CVEs, die in einem einzigen Monat offengelegt wurden – gegenüber 6 zwei Monate zuvor.
Georgia Tech Vibe Security Radar, März 2026.
Fähigkeiten
Fünf Fähigkeiten. Eine Installation.
Echte Screenshots, echte Statusbezeichnungen. Keine Fähigkeit verspricht mehr, als sie heute ausliefert.
Stoppen Sie Schwachstellen im Moment der Generierung.
Ihr SAST läuft beim Commit. Ihr SCA läuft beim PR. Bis dahin ist der unsichere Code bereits geschrieben, von einem müden Menschen überprüft und gemerged. Vibe Coding ist schneller als beides.
-
Installiert als Erweiterung in Cursor, Claude Code, VS Code, Windsurf und Zed. -
Fängt Vorschläge in Echtzeit ab – blockiert hartcodierte Secrets, RLS-aus-Muster, CORS-Wildcards, die Top-15-CWEs. -
Schreibt den Vorschlag oder den Prompt um. Läuft auf dem Gerät, sodass Ihr Code das Notebook nie verlässt.
Ein Commit, der einen Stripe-Key ausgeliefert hätte, liefert jetzt einen Verweis auf den Secret-Manager – ohne Entwicklereingriff.
Die einzige Schicht, die MCP-Server als Lieferkette behandelt.
Jede IDE, die Sie jetzt verwenden, verbindet sich mit MCP-Servern mit nahezu Root-Zugriff auf Ihre Repos, Tickets und Chats. MCP-Marktplätze wurden bereits vergiftet. Die meisten Teams können die MCPs, die ihre Entwickler installiert haben, nicht auflisten.
-
Kontinuierliches Inventar jedes MCP-Servers pro Entwickler, pro Repo, pro Organisation. -
Scannt Tool-Beschreibungen auf Injection- und 'Rug Pull'-Muster. Markiert MCPs, die ihr Verhalten nach der Genehmigung ändern. -
Sandboxed MCP-Ausführung, begrenzt Aufrufe und patcht automatisch, wenn CVEs wie 2026-30615 auftreten.
In einem einwöchigen Audit entdecken Teams typischerweise 3–5× mehr installierte MCPs, als ihrer Sicherheitsabteilung bekannt war.
Fangen Sie Pakete, die nicht existieren – bevor Angreifer sie registrieren.
Modelle importieren zuversichtlich Pakete, die nie veröffentlicht wurden. Angreifer überwachen den Trend und registrieren diese Namen innerhalb von Stunden. Wenn Ihr Assistent das nächste Mal eines vorschlägt, ist es bösartig.
-
Überprüft jeden npm-, PyPI-, Cargo- und Go-Import in Echtzeit gegen das echte Register. -
Markiert Pakete, die in den letzten 30 Tagen veröffentlicht wurden und deren Namen beliebten Bibliotheken ähneln (Typosquatting + Slopsquatting). -
Erkennt, wenn eine importierte Funktion nicht mit der echten API der Bibliothek übereinstimmt – ein Zeichen für halluzinierten Code.
Plexicus unterhält eine proprietäre Datenbank der Paketnamen, die Modelle am häufigsten halluzinieren. Sie wird jede Woche intelligenter.
Die Schwachstellen, die SAST nicht sehen kann – diejenigen, die tatsächlich Daten leaken.
Die größten Vibe-Coding-Vorfälle der letzten 12 Monate waren keine SQL-Injection. Es war die Autorisierung: Deaktivierte Row-Level-Sicherheit, BOLA (Broken Object Level Authorization), Endpunkte, die vergessen, den aktuellen Benutzer zu überprüfen. SAST übersieht das alles.
-
Reachability-Analyse gegen Supabase, Postgres RLS und Firebase-Regeln – zeigt, welche Richtlinien tatsächlich durchgesetzt werden. -
Gezieltes Fuzzing für BOLA / IDOR über den Plexicus-Pentest-Agenten (Strix). -
Flusssimulation: Kann Benutzer A auf die Daten von Benutzer B zugreifen? Wenn ja, erhalten Sie einen PoC, nicht nur eine Warnung.
Bei einer typischen, auf Supabase basierenden KI-generierten App deckt Plexicus am ersten Tag Autorisierungsfehler auf, die SAST-Tools nie erkennen.
Jede Codezeile mit ihrem Ursprung signieren.
Das EU AI Act, der Cyber Resilience Act, DORA, NIS2 – alle laufen auf dieselbe Frage hinaus: Welche Zeile Ihres ausgelieferten Codes wurde von welchem Modell, mit welchem Prompt, an welchem Datum geschrieben? Niemand kann das heute beantworten.
-
Jeder Codeblock wird zum Zeitpunkt der Generierung getaggt: Mensch vs. KI, Modellname, Prompt-Hash, Zeitstempel. -
Exportiert einen AIBOM im erweiterten SPDX / CycloneDX-Format – prüfbereit. -
CISO-Dashboard: Wie viel % des Produktionscodes ist KI-generiert, von welchen Modellen, mit welchem Risikoprofil pro Modell.
Exportieren Sie ein einzelnes PDF für Ihre nächste DORA-, NIS2- oder AI-Act-Prüfung. Der Prüfer hört auf, Fragen zu stellen.
Plattform
Es ist nicht nur ein Cursor-Plugin. Es ist eine AppSec-Plattform.
Vibe Coding Security läuft auf der gesamten Plexicus-ASPM-Plattform. Ein Vertrag deckt Code, Abhängigkeiten, Geheimnisse, Infrastruktur, APIs und agentengesteuerte Pentests ab – vereinheitlicht durch unseren Codex Remedium Remediation Agent, der den PR für Sie erstellt.
SAST SCA Geheimnisse IaC DAST Strix-Pentest-Agent
ASPM
Application Security Posture Management für Ihren gesamten Code.
Learn moreCSPM
Cloud Security Posture Management für jede Laufzeitumgebung.
Learn moreContainer-Sicherheit
Image-, Registry- und Laufzeitsicherheit für den Container-Stack.
Learn moreBereits Plexicus-Kunde? Vibe Coding Security ist als Modul verfügbar – kein erneutes Onboarding, kein zweites Dashboard.
Integrationen
Funktioniert dort, wo Ihre Entwickler bereits arbeiten.
Eine Installation, jede IDE und jedes Repository, das Ihr Team bereits nutzt. Keine Migration erforderlich.
IDEs & Coding-Assistenten
Cursor 
Claude Code 
Copilot 
Codex 
Kiro 
Lovable 
v0 
Antigravity Repos & CI
Nachweis
Die Forschung, der Tracker, das Team.
Forschungsbericht
State of Vibe Coding Security – 2026
Wir haben Tausende von KI-generierten Commits in Open-Source-Projekten analysiert. 45 % enthalten mindestens einen Fehler. Hier ist die vollständige Aufschlüsselung – nach Modell, nach Sprache, nach CWE.
Bericht herunterladenLive-Tracker
In diesem Monat erkannte MCP-Bedrohungen
Live-Zähler, wöchentlich aktualisiert: Neue MCP-CVEs, Marktplätze mit nachgewiesener Vergiftung, Rug-Pull-Vorfälle, die Plexicus-Kunden vermieden haben.
Tracker ansehenKundenstimme
Die Fähigkeit des KI-Agenten, automatisch Korrekturen für Schwachstellen zu generieren, hat unseren Arbeitsablauf revolutioniert.
David Wilson
Leiter Sicherheit, HuMaIND
FAQ
Häufig gestellte Fragen
Was ist Vibe Coding Security?
Vibe Coding Security ist eine AppSec-Kategorie, die für Code entwickelt wurde, der von KI-Coding-Tools wie Cursor, Claude Code, Copilot und autonomen Agenten generiert wird. Sie kombiniert IDE-Guardrails, MCP-Sicherheitsscans, Erkennung halluzinierter Pakete, Authz-Analyse und KI-Code-Herkunft (AIBOM).
Wie unterscheidet es sich von traditionellem SAST?
Traditionelles SAST wird bei Commit oder PR ausgeführt – nachdem unsicherer Code bereits geschrieben und überprüft wurde. Plexicus greift in der IDE, in der Prompt-/Vorschlags-Schleife ein, sodass schlechte Muster nie ins Repository gelangen.
Welche IDEs und Coding-Assistenten werden unterstützt?
Cursor, Claude Code, VS Code, Windsurf und Zed werden derzeit unterstützt. JetBrains kommt bald. Alle laufen mit der Plexicus-Erweiterung und arbeiten offline – Ihr Code verlässt niemals das Laptop.
Was ist ein AIBOM?
Ein AI Bill of Materials: ein signiertes Manifest, das festhält, welche Codezeilen von welchem Modell, mit welchem Prompt und zu welcher Zeit geschrieben wurden. Es beantwortet die Compliance-Frage, die DORA, NIS2 und der EU AI Act immer wieder stellen.
Muss ich meine bestehenden AppSec-Tools ersetzen?
Nein. Vibe Coding Security ist ein Modul, das auf der vollständigen Plexicus ASPM-Plattform aufbaut. Nutzen Sie es zusammen mit Ihren bestehenden SAST/SCA-Tools oder ersetzen Sie diese durch Plexicus-Engines – ganz wie Sie möchten.
Ist der Einstieg kostenlos?
Ja. Kostenlos für bis zu 3 Entwickler, keine Kreditkarte erforderlich. Upgraden Sie auf Team, wenn Sie die vollen fünf Funktionen benötigen.
Wie funktioniert die Erkennung von Slopsquatting?
Jeder Import, den Ihr KI-Assistent vorschlägt, wird in Echtzeit gegen das tatsächliche Paketregister geprüft. Wenn das Paket nicht existiert, in den letzten 30 Tagen mit einem verdächtigen Namen veröffentlicht wurde oder seine API nicht mit der importierten Funktion übereinstimmt, blockiert Plexicus es und bietet eine Lösung an.
VIBE CODING SECURITY
Liefern Sie keine Schwachstellen aus, die Ihre KI geschrieben hat.
Plexicus erkennt sie in der IDE, im PR und in der Produktion. Ihre Entwickler werden nicht langsamer. Ihr CISO wird wieder ruhig schlafen.
Kostenlos für bis zu 3 Entwickler. SOC 2 Typ II. Unterstützt von Google for Startups.