45%
kode buatan AI mengandung setidaknya satu celah keamanan.
Veracode, analisis 4M+ pemindaian di 100+ LLM (2025).
Keamanan untuk kode yang ditulis AI Anda.
Cursor, Claude Code, Copilot dan agen otonom menulis 46% kode baru. Dan 45% di antaranya dikirim dengan kerentanan. Plexicus Vibe Coding Security menangkapnya di IDE — sebelum menjadi CVE.
Gratis untuk hingga 3 pengembang. Tanpa kartu kredit. Berfungsi di Cursor, Claude Code, VS Code, Windsurf.
Tim-tim pelopor sudah bergabung
Mengapa sekarang
Ancaman yang belum Anda miliki alatnya — saat ini.
Setiap angka di halaman ini dikutip. Kami berada dalam kategori baru, jadi matematika itu penting.
~20%
impor yang disarankan AI merujuk pada paket yang tidak ada. Penyerang sudah mendaftarkannya.
Riset Slopsquatting, 2025–2026.
46%
kode baru yang dikirim di repositori yang diaktifkan Copilot adalah buatan AI.
Telemetri penggunaan GitHub Copilot, 2025.
35
CVE yang dapat diatribusikan ke AI diungkapkan dalam satu bulan — naik dari 6 dua bulan sebelumnya.
Georgia Tech Vibe Security Radar, Maret 2026.
Kemampuan
Lima kemampuan. Satu instalasi.
Tangkapan layar nyata, label status nyata. Tidak ada klaim kemampuan yang melebihi apa yang dikirimkan hari ini.
Hentikan kerentanan pada saat pembuatan.
SAST Anda berjalan saat commit. SCA Anda berjalan saat PR. Pada saat itu, kode yang tidak aman sudah ditulis, ditinjau oleh manusia yang lelah, dan digabungkan. Vibe coding bergerak lebih cepat dari keduanya.
-
Terpasang sebagai ekstensi di Cursor, Claude Code, VS Code, Windsurf, dan Zed. -
Mencegat saran secara real time — memblokir rahasia yang dikodekan keras, pola RLS-off, wildcard CORS, 15 CWE teratas. -
Menulis ulang saran atau prompt. Berjalan di perangkat, sehingga kode Anda tidak pernah meninggalkan laptop.
Sebuah commit yang seharusnya mengirimkan kunci Stripe kini mengirimkan referensi ke pengelola rahasia — tanpa tindakan pengembang yang diperlukan.
Satu-satunya lapisan yang memperlakukan server MCP sebagai rantai pasokan.
Setiap IDE yang Anda gunakan sekarang terhubung ke server MCP dengan akses hampir-root ke repositori, tiket, dan obrolan Anda. Pasar MCP sudah teracuni. Sebagian besar tim tidak dapat mendaftar MCP yang telah diinstal oleh pengembang mereka.
-
Inventaris berkelanjutan dari setiap server MCP per pengembang, per repositori, per organisasi. -
Memindai deskripsi alat untuk injeksi dan pola 'penarikan karpet'. Menandai MCP yang mengubah perilaku setelah disetujui. -
Mengisolasi eksekusi MCP, membatasi kecepatan panggilan, dan menambal secara otomatis ketika CVE seperti 2026-30615 muncul.
Dalam audit selama seminggu, tim biasanya menemukan 3–5× lebih banyak MCP terinstal daripada yang diketahui oleh organisasi keamanan mereka.
Tangkap paket yang tidak ada — sebelum penyerang mendaftarkannya.
Model dengan percaya diri mengimpor paket yang belum pernah dipublikasikan. Penyerang memantau tren dan mendaftarkan nama-nama tersebut dalam hitungan jam. Saat asisten Anda menyarankannya lagi, itu sudah berbahaya.
-
Memvalidasi setiap impor npm, PyPI, Cargo, dan Go terhadap registri nyata secara real-time. -
Menandai paket yang dipublikasikan dalam 30 hari terakhir yang namanya mirip dengan pustaka populer (typosquatting + slopsquatting). -
Mendeteksi ketika fungsi yang diimpor tidak cocok dengan API pustaka yang sebenarnya — sebuah tanda kode yang dihalusinasi.
Plexicus memelihara basis data kepemilikan dari nama-nama paket yang paling sering dihalusinasi oleh model. Ini menjadi lebih pintar setiap minggu.
Cacat yang tidak dapat dilihat SAST — yang benar-benar membocorkan data.
Insiden vibe-coding terbesar dalam 12 bulan terakhir bukanlah SQL injection. Mereka adalah otorisasi: Row-Level Security dinonaktifkan, BOLA (Broken Object Level Authorization), endpoint yang lupa memeriksa pengguna saat ini. SAST melewatkan semuanya.
-
Analisis reachability terhadap aturan Supabase, Postgres RLS, dan Firebase — memetakan kebijakan mana yang benar-benar diterapkan. -
Fuzzing terarah untuk BOLA / IDOR melalui agen pentest Plexicus (Strix). -
Simulasi aliran: dapatkah pengguna A mencapai data pengguna B? Jika ya, Anda mendapatkan PoC, bukan hanya peringatan.
Pada aplikasi buatan AI berbasis Supabase yang umum, Plexicus mengungkapkan celah authz pada hari pertama yang tidak pernah ditandai oleh alat SAST.
Tandai setiap baris kode dengan asalnya.
EU AI Act, Cyber Resilience Act, DORA, NIS2 — semuanya mengarah pada pertanyaan yang sama: baris kode mana dari kode yang Anda kirimkan ditulis oleh model mana, dengan prompt apa, pada tanggal berapa? Tidak ada yang bisa menjawab ini hari ini.
-
Setiap blok kode diberi tag saat pembuatan: manusia vs AI, nama model, hash prompt, stempel waktu. -
Mengekspor AIBOM dalam format SPDX / CycloneDX yang diperluas — siap audit. -
Dasbor CISO: berapa % kode produksi yang dihasilkan AI, oleh model mana, dengan profil risiko per model.
Ekspor satu PDF untuk audit DORA, NIS2, atau AI Act Anda berikutnya. Auditor berhenti bertanya.
Platform
Ini bukan sekadar plugin Cursor. Ini adalah platform AppSec.
Vibe Coding Security berjalan di atas platform ASPM Plexicus yang lengkap. Satu kontrak mencakup kode, dependensi, rahasia, infrastruktur, API, dan pentest yang digerakkan oleh agen — semuanya disatukan oleh agen remediasi Codex Remedium kami yang membuka PR untuk Anda.
SAST SCA Rahasia IaC DAST Agen pentest Strix
ASPM
Manajemen Postur Keamanan Aplikasi di seluruh kode Anda.
Learn moreCSPM
Manajemen Postur Keamanan Cloud untuk setiap runtime.
Learn moreKeamanan Kontainer
Keamanan gambar, registry, dan runtime untuk tumpukan kontainer.
Learn moreSudah menjadi pelanggan Plexicus? Vibe Coding Security tersedia sebagai modul — tidak perlu onboarding ulang, tidak perlu dashboard kedua.
Integrasi
Bekerja di tempat pengembang Anda sudah bekerja.
Satu instalasi, setiap IDE dan repo yang sudah digunakan tim Anda. Tidak perlu migrasi.
IDE & Asisten Pengkodean
Cursor 
Claude Code 
Copilot 
Codex 
Kiro 
Lovable 
v0 
Antigravity Repo & CI
Bukti
Riset, pelacak, dan tim.
Laporan riset
Keadaan Keamanan Vibe Coding — 2026
Kami menganalisis ribuan komit yang dihasilkan AI di seluruh proyek sumber terbuka. 45% dikirim dengan setidaknya satu cacat. Berikut rincian lengkapnya — berdasarkan model, berdasarkan bahasa, berdasarkan CWE.
Unduh laporanPelacak langsung
Ancaman MCP yang terdeteksi bulan ini
Penghitung langsung, diperbarui mingguan: CVE MCP baru yang diungkapkan, pasar tempat kami mendeteksi keracunan, insiden penarikan rug yang dihindari pelanggan Plexicus.
Lihat pelacakKutipan pelanggan
Kemampuan agen AI untuk secara otomatis menghasilkan perbaikan untuk kerentanan telah mengubah alur kerja kami.
David Wilson
Kepala Keamanan, HuMaIND
FAQ
Pertanyaan yang Sering Diajukan
Apa itu Vibe Coding Security?
Vibe Coding Security adalah kategori AppSec yang dibangun untuk kode yang dihasilkan oleh alat coding AI seperti Cursor, Claude Code, Copilot, dan agen otonom. Ini menggabungkan IDE guardrails, pemindaian keamanan MCP, deteksi paket halusinasi, analisis authz, dan provenans kode AI (AIBOM).
Apa perbedaannya dengan SAST tradisional?
SAST tradisional berjalan pada commit atau PR — setelah kode yang tidak aman telah ditulis dan ditinjau. Plexicus mencegat di IDE, dalam loop prompt/saran, sehingga pola buruk tidak pernah masuk ke repositori.
IDE dan asisten coding mana yang didukung?
Cursor, Claude Code, VS Code, Windsurf, dan Zed didukung saat ini. JetBrains akan segera hadir. Semua berjalan dengan ekstensi Plexicus dan bekerja secara offline — kode Anda tidak pernah meninggalkan laptop.
Apa itu AIBOM?
Bill of Materials AI: manifes yang ditandatangani tentang baris kode mana yang ditulis oleh model mana, dengan prompt mana, pada waktu mana. Ini menjawab pertanyaan kepatuhan yang terus diajukan oleh DORA, NIS2, dan EU AI Act.
Apakah saya harus mengganti alat AppSec yang sudah ada?
Tidak. Vibe Coding Security adalah modul di atas platform Plexicus ASPM yang lengkap. Gunakan bersama SAST/SCA yang sudah ada, atau ganti dengan mesin Plexicus — terserah Anda.
Apakah gratis untuk memulai?
Ya. Gratis untuk hingga 3 pengembang, tanpa perlu kartu kredit. Tingkatkan ke Tim saat Anda membutuhkan kelima kemampuan penuh.
Bagaimana cara kerja deteksi slopsquatting?
Setiap impor yang disarankan oleh asisten AI Anda diperiksa terhadap registri paket asli secara real-time. Jika paket tidak ada, diterbitkan dalam 30 hari terakhir dengan nama yang mencurigakan, atau API-nya tidak cocok dengan fungsi yang diimpor, Plexicus memblokirnya dan menawarkan perbaikan.
VIBE CODING SECURITY
Jangan kirimkan kerentanan yang ditulis AI Anda.
Plexicus menangkapnya di IDE, di PR, dan di produksi. Pengembang Anda tidak akan melambat. CISO Anda akan tidur nyenyak lagi.
Gratis untuk hingga 3 pengembang. SOC 2 Tipe II. Didukung oleh Google for Startups.