45%
du code généré par IA contient au moins une faille de sécurité.
Veracode, analyse de plus de 4 millions de scans sur plus de 100 LLM (2025).
Sécurité pour le code que votre IA a écrit.
Cursor, Claude Code, Copilot et les agents autonomes écrivent 46 % du nouveau code. Et 45 % de celui-ci est livré avec des vulnérabilités. Plexicus Vibe Coding Security les détecte dans l'IDE — avant qu'elles ne deviennent des CVE.
Gratuit pour jusqu'à 3 développeurs. Pas de carte de crédit. Fonctionne dans Cursor, Claude Code, VS Code, Windsurf.
Des équipes pionnières sont déjà à bord
Pourquoi maintenant
La menace pour laquelle vous n'avez pas encore d'outil.
Chaque chiffre sur cette page est cité. Nous sommes dans une nouvelle catégorie, donc les chiffres comptent.
~20%
des importations suggérées par l'IA référencent des paquets qui n'existent pas. Les attaquants les enregistrent déjà.
Recherche Slopsquatting, 2025–2026.
46%
du nouveau code livré dans les dépôts activés par Copilot est rédigé par IA.
Télémétrie d'utilisation de GitHub Copilot, 2025.
35
CVE attribuables à l'IA divulguées en un seul mois — contre 6 deux mois plus tôt.
Georgia Tech Vibe Security Radar, mars 2026.
Capacités
Cinq capacités. Une installation.
Captures d'écran réelles, étiquettes d'état réelles. Aucune capacité ne prétend plus que ce qu'elle livre aujourd'hui.
Arrêtez les vulnérabilités au moment de la génération.
Votre AST statique s'exécute lors de la validation. Votre analyse de composition logicielle s'exécute lors de la demande de tirage. À ce moment-là, le code non sécurisé est déjà écrit, relu par un humain fatigué et fusionné. Le codage par invite va plus vite que l'un ou l'autre.
-
S'installe comme extension dans Cursor, Claude Code, VS Code, Windsurf et Zed. -
Intercepte les suggestions en temps réel — bloque les secrets codés en dur, les motifs RLS désactivés, les caractères génériques CORS, les 15 principales CWE. -
Réécrit la suggestion ou l'invite. Fonctionne sur l'appareil, donc votre code ne quitte jamais l'ordinateur portable.
Une validation qui aurait expédié une clé Stripe expédie désormais une référence au gestionnaire de secrets — sans action du développeur.
La seule couche qui traite les serveurs MCP comme une chaîne d'approvisionnement.
Chaque IDE que vous utilisez maintenant se connecte à des serveurs MCP avec un accès quasi-root à vos dépôts, tickets et discussions. Les places de marché MCP ont déjà été empoisonnées. La plupart des équipes ne peuvent pas lister les MCP que leurs développeurs ont installés.
-
Inventaire continu de chaque serveur MCP par développeur, par dépôt, par organisation. -
Analyse les descriptions d'outils pour détecter les injections et les schémas de 'rug pull'. Signale les MCP qui changent de comportement après approbation. -
Isole l'exécution des MCP, limite les appels et applique automatiquement des correctifs lorsque des CVE comme 2026-30615 apparaissent.
Lors d'un audit d'une semaine, les équipes découvrent généralement 3 à 5 fois plus de MCP installés que ce que leur service de sécurité savait.
Attraper les paquets qui n'existent pas — avant que les attaquants ne les enregistrent.
Les modèles importent avec confiance des paquets qui n'ont jamais été publiés. Les attaquants surveillent la tendance et enregistrent ces noms en quelques heures. La prochaine fois que votre assistant en suggère un, il est malveillant.
-
Valide chaque import npm, PyPI, Cargo et Go par rapport au registre réel en temps réel. -
Signale les paquets publiés au cours des 30 derniers jours dont les noms ressemblent à des bibliothèques populaires (typosquatting + slopsquatting). -
Détecte lorsqu'une fonction importée ne correspond pas à l'API réelle de la bibliothèque — une signature de code halluciné.
Plexicus maintient une base de données propriétaire des noms de paquets que les modèles hallucinent le plus fréquemment. Elle devient plus intelligente chaque semaine.
Les failles que SAST ne peut pas voir — celles qui fuient réellement des données.
Les plus gros incidents de vibe-coding des 12 derniers mois n'étaient pas des injections SQL. C'étaient des problèmes d'autorisation : Row-Level Security désactivée, BOLA (Broken Object Level Authorization), des endpoints qui oublient de vérifier l'utilisateur actuel. Les SAST passent à côté de tout cela.
-
Analyse d'atteignabilité contre Supabase, Postgres RLS et les règles Firebase — cartographie des politiques réellement appliquées. -
Fuzzing dirigé pour BOLA / IDOR via l'agent de pentest Plexicus (Strix). -
Simulation de flux : l'utilisateur A peut-il accéder aux données de l'utilisateur B ? Si oui, vous obtenez une preuve de concept, pas seulement une alerte.
Sur une application typique générée par IA avec Supabase, Plexicus révèle des failles d'autorisation dès le premier jour, que les outils SAST ne signalent jamais.
Signez chaque ligne de code avec son origine.
L'AI Act européen, le Cyber Resilience Act, DORA, NIS2 — tous convergent vers la même question : quelle ligne de votre code livré a été écrite par quel modèle, avec quelle invite, à quelle date ? Personne ne peut répondre aujourd'hui.
-
Chaque bloc de code est étiqueté au moment de la génération : humain vs IA, nom du modèle, hash de l'invite, horodatage. -
Exporte un AIBOM au format étendu SPDX / CycloneDX — prêt pour l'audit. -
Tableau de bord CISO : quel % du code de production est généré par IA, par quels modèles, avec quel profil de risque par modèle.
Exportez un PDF unique pour votre prochain audit DORA, NIS2 ou AI Act. L'auditeur cesse de poser des questions.
Plateforme
Ce n'est pas juste un plugin Cursor. C'est une plateforme AppSec.
Vibe Coding Security fonctionne au-dessus de la plateforme ASPM complète de Plexicus. Un seul outil couvre le code, les dépendances, les secrets, l'infrastructure, les API et les tests de pénétration pilotés par agent — le tout unifié par notre agent de correction Codex Remedium qui ouvre la PR pour vous.
SAST SCA Secrets IaC DAST Agent de test d'intrusion Strix
ASPM
Gestion de la posture de sécurité applicative sur l'ensemble de votre code.
Learn moreCSPM
Gestion de la posture de sécurité cloud pour chaque environnement d'exécution.
Learn moreSécurité des conteneurs
Sécurité des images, des registres et de l'exécution pour la pile de conteneurs.
Learn moreDéjà client Plexicus ? Vibe Coding Security est disponible en tant que module — pas de nouvelle intégration, pas de second tableau de bord.
Intégrations
Fonctionne là où vos développeurs travaillent déjà.
Une seule installation, tous les IDE et dépôts que votre équipe utilise déjà. Aucune migration nécessaire.
IDE et assistants de codage
Cursor 
Claude Code 
Copilot 
Codex 
Kiro 
Lovable 
v0 
Antigravity Dépôts et CI
Preuve
La recherche, le suivi, l'équipe.
Rapport de recherche
État de la sécurité du codage par vibes — 2026
Nous avons analysé des milliers de commits générés par IA dans des projets open source. 45 % contiennent au moins une faille. Voici la répartition complète — par modèle, par langage, par CWE.
Télécharger le rapportSuivi en direct
Menaces MCP détectées ce mois-ci
Compteur en direct, mis à jour chaque semaine : nouvelles CVE MCP divulguées, places de marché où nous avons détecté un empoisonnement, incidents de rug-pull évités par les clients Plexicus.
Voir le suiviTémoignage client
La capacité de l'agent IA à générer automatiquement des correctifs pour les vulnérabilités a transformé notre flux de travail.
David Wilson
Responsable de la sécurité, HuMaIND
FAQ
Questions fréquemment posées
Qu'est-ce que Vibe Coding Security ?
Vibe Coding Security est une catégorie AppSec conçue pour le code généré par des outils de codage IA comme Cursor, Claude Code, Copilot et les agents autonomes. Elle combine des garde-fous IDE, une analyse de sécurité MCP, une détection de paquets hallucinés, une analyse d'autorisation et une provenance du code IA (AIBOM).
En quoi cela diffère-t-il des SAST traditionnels ?
Les SAST traditionnels s'exécutent lors du commit ou de la PR — après que le code non sécurisé a déjà été écrit et révisé. Plexicus intercepte au niveau de l'IDE, dans la boucle d'invite/suggestion, de sorte que les mauvais modèles n'atterrissent jamais dans le dépôt.
Quels IDE et assistants de codage sont pris en charge ?
Cursor, Claude Code, VS Code, Windsurf et Zed sont pris en charge aujourd'hui. JetBrains arrive bientôt. Tous fonctionnent avec l'extension Plexicus et fonctionnent hors ligne — votre code ne quitte jamais l'ordinateur portable.
Qu'est-ce qu'un AIBOM ?
Un AI Bill of Materials : un manifeste signé indiquant quelles lignes de code ont été écrites par quel modèle, avec quelle invite, à quel moment. Il répond à la question de conformité que DORA, NIS2 et l'EU AI Act ne cessent de poser.
Dois-je remplacer mes outils AppSec existants ?
Non. Vibe Coding Security est un module complémentaire de la plateforme complète Plexicus ASPM. Utilisez-le en parallèle de vos outils SAST/SCA existants, ou remplacez-les par les moteurs Plexicus — à vous de choisir.
Est-ce gratuit pour commencer ?
Oui. Gratuit pour jusqu'à 3 développeurs, sans carte de crédit requise. Passez à l'offre Équipe lorsque vous avez besoin de l'ensemble des cinq capacités.
Comment fonctionne la détection de slopsquatting ?
Chaque importation suggérée par votre assistant IA est vérifiée en temps réel par rapport au registre de paquets réel. Si le paquet n'existe pas, a été publié au cours des 30 derniers jours avec un nom suspect, ou si son API ne correspond pas à la fonction importée, Plexicus le bloque et propose une correction.
VIBE CODING SECURITY
Ne déployez pas les vulnérabilités que votre IA a écrites.
Plexicus les détecte dans l'IDE, dans la PR et en production. Vos développeurs ne ralentiront pas. Votre RSSI pourra dormir tranquille.
Gratuit pour jusqu'à 3 développeurs. SOC 2 Type II. Soutenu par Google for Startups.