45%
del codice generato dall'IA contiene almeno un difetto di sicurezza.
Veracode, analisi di oltre 4 milioni di scansioni su 100+ LLM (2025).
Sicurezza per il codice scritto dalla tua IA.
Cursor, Claude Code, Copilot e agenti autonomi scrivono il 46% del nuovo codice. E il 45% di esso viene rilasciato con vulnerabilità. Plexicus Vibe Coding Security le intercetta nell'IDE — prima che diventino CVE.
Gratuito per un massimo di 3 sviluppatori. Nessuna carta di credito. Funziona in Cursor, Claude Code, VS Code, Windsurf.
Team pionieri sono già a bordo
Perché ora
La minaccia per cui non hai ancora uno strumento.
Ogni numero in questa pagina è citato. Siamo in una nuova categoria, quindi i dati contano.
~20%
delle importazioni suggerite dall'IA fanno riferimento a pacchetti che non esistono. Gli aggressori li stanno già registrando.
Ricerca Slopsquatting, 2025–2026.
46%
del nuovo codice distribuito nei repository abilitati a Copilot è scritto dall'IA.
Telemetria di utilizzo di GitHub Copilot, 2025.
35
CVE attribuibili all'IA divulgati in un singolo mese — in aumento rispetto ai 6 di due mesi prima.
Georgia Tech Vibe Security Radar, marzo 2026.
Funzionalità
Cinque funzionalità. Una installazione.
Screenshot reali, etichette di stato reali. Nessuna funzionalità dichiara più di quanto offra oggi.
Blocca le vulnerabilità nel momento della generazione.
Il tuo SAST viene eseguito al commit. Il tuo SCA viene eseguito alla richiesta di pull. A quel punto il codice insicuro è già stato scritto, revisionato da un umano stanco e unito. Il vibe coding è più veloce di entrambi.
-
Si installa come estensione in Cursor, Claude Code, VS Code, Windsurf e Zed. -
Intercetta i suggerimenti in tempo reale — blocca segreti hardcoded, pattern RLS-off, wildcard CORS, le prime 15 CWE. -
Riscrive il suggerimento o il prompt. Funziona sul dispositivo, quindi il tuo codice non lascia mai il laptop.
Un commit che avrebbe spedito una chiave Stripe ora spedisce un riferimento al gestore dei segreti — senza alcuna azione da parte dello sviluppatore.
L'unico layer che tratta i server MCP come supply chain.
Ogni IDE che usi ora si connette ai server MCP con accesso quasi root ai tuoi repo, ticket e chat. I marketplace MCP sono già stati avvelenati. La maggior parte dei team non riesce a elencare gli MCP che i loro sviluppatori hanno installato.
-
Inventario continuo di ogni server MCP per sviluppatore, per repo, per organizzazione. -
Analizza le descrizioni degli strumenti per individuare pattern di injection e 'rug pull'. Segnala gli MCP che cambiano comportamento dopo l'approvazione. -
Isola l'esecuzione degli MCP, limita le chiamate e applica patch automaticamente quando arrivano CVE come 2026-30615.
In un audit di una settimana, i team scoprono in genere 3–5 volte più MCP installati di quanti la loro organizzazione di sicurezza ne sapesse.
Individua i pacchetti che non esistono — prima che gli aggressori li registrino.
I modelli importano con sicurezza pacchetti che non sono mai stati pubblicati. Gli aggressori monitorano la tendenza e registrano quei nomi nel giro di ore. La prossima volta che il tuo assistente ne suggerisce uno, è malevolo.
-
Convalida ogni import npm, PyPI, Cargo e Go rispetto al registro reale in tempo reale. -
Segnala i pacchetti pubblicati negli ultimi 30 giorni i cui nomi assomigliano a librerie popolari (typosquatting + slopsquatting). -
Rileva quando una funzione importata non corrisponde all'API reale della libreria — un segno di codice allucinato.
Plexicus mantiene un database proprietario dei nomi dei pacchetti che i modelli allucinano più frequentemente. Diventa più intelligente ogni settimana.
I difetti che SAST non vede — quelli che effettivamente perdono dati.
I più grandi incidenti di vibe-coding degli ultimi 12 mesi non sono stati SQL injection. Sono stati autorizzazione: Row-Level Security disabilitata, BOLA (Broken Object Level Authorization), endpoint che dimenticano di controllare l'utente corrente. SAST non li rileva affatto.
-
Analisi di raggiungibilità su Supabase, Postgres RLS e regole Firebase — mappa quali policy sono effettivamente applicate. -
Fuzzing mirato per BOLA / IDOR tramite l'agente di pentest Plexicus (Strix). -
Simulazione di flusso: l'utente A può raggiungere i dati dell'utente B? Se sì, ottieni un PoC, non solo un avviso.
Su una tipica app generata dall'IA basata su Supabase, Plexicus scopre vulnerabilità di autorizzazione il primo giorno che gli strumenti SAST non segnalano mai.
Firma ogni riga di codice con la sua origine.
L'AI Act dell'UE, il Cyber Resilience Act, DORA, NIS2 — tutti convergono sulla stessa domanda: quale riga del tuo codice distribuito è stata scritta da quale modello, con quale prompt, in quale data? Nessuno può rispondere oggi.
-
Ogni blocco di codice viene etichettato al momento della generazione: umano vs IA, nome del modello, hash del prompt, timestamp. -
Esporta un AIBOM in formato SPDX / CycloneDX esteso — pronto per l'audit. -
Dashboard CISO: quale % del codice di produzione è generato dall'IA, da quali modelli, con quale profilo di rischio per modello.
Esporta un singolo PDF per il tuo prossimo audit DORA, NIS2 o AI Act. Il revisore smette di fare domande.
Piattaforma
Non è solo un plugin per Cursor. È una piattaforma AppSec.
Vibe Coding Security funziona sopra l'intera piattaforma ASPM di Plexicus. Un unico contratto copre codice, dipendenze, segreti, infrastruttura, API e pentest guidato da agenti — il tutto unificato dal nostro agente di remediation Codex Remedium che apre la PR per te.
SAST SCA Segreti IaC DAST Agente di pentest Strix
ASPM
Gestione della postura di sicurezza delle applicazioni su tutto il tuo codice.
Learn moreCSPM
Gestione della postura di sicurezza del cloud per ogni runtime.
Learn moreSicurezza dei container
Sicurezza di immagini, registry e runtime per lo stack dei container.
Learn moreGià cliente Plexicus? Vibe Coding Security è disponibile come modulo — nessun nuovo onboarding, nessuna seconda dashboard.
Integrazioni
Funziona dove i tuoi sviluppatori già lavorano.
Una sola installazione, ogni IDE e repository che il tuo team già utilizza. Nessuna migrazione necessaria.
IDE e assistenti di codifica
Cursor 
Claude Code 
Copilot 
Codex 
Kiro 
Lovable 
v0 
Antigravity Repository e CI
Prova
La ricerca, il tracker, il team.
Rapporto di ricerca
Stato della sicurezza del vibe coding — 2026
Abbiamo analizzato migliaia di commit generati dall'IA in progetti open-source. Il 45% presenta almeno un difetto. Ecco la ripartizione completa — per modello, per linguaggio, per CWE.
Scarica il rapportoTracker live
Minacce MCP intercettate questo mese
Contatore live, aggiornato settimanalmente: nuove CVE MCP divulgate, marketplace in cui abbiamo rilevato avvelenamento, incidenti di rug-pull evitati dai clienti Plexicus.
Vedi il trackerCitazione cliente
La capacità dell'agente IA di generare automaticamente correzioni per le vulnerabilità ha trasformato il nostro flusso di lavoro.
David Wilson
Responsabile della sicurezza, HuMaIND
FAQ
Domande frequenti
Cos'è Vibe Coding Security?
Vibe Coding Security è una categoria AppSec creata per il codice generato da strumenti di codifica AI come Cursor, Claude Code, Copilot e agenti autonomi. Combina guardrail IDE, scansione di sicurezza MCP, rilevamento di pacchetti allucinati, analisi authz e provenienza del codice AI (AIBOM).
In cosa si differenzia dal SAST tradizionale?
Il SAST tradizionale viene eseguito al commit o alla PR — dopo che il codice insicuro è già stato scritto e revisionato. Plexicus intercetta nell'IDE, nel ciclo prompt/suggerimento, in modo che i pattern dannosi non finiscano mai nel repository.
Quali IDE e assistenti di codifica sono supportati?
Cursor, Claude Code, VS Code, Windsurf e Zed sono supportati oggi. JetBrains sta arrivando. Tutti funzionano con l'estensione Plexicus e funzionano offline — il tuo codice non lascia mai il laptop.
Cos'è un AIBOM?
Un AI Bill of Materials: un manifesto firmato di quali righe di codice sono state scritte da quale modello, con quale prompt, a che ora. Risponde alla domanda di conformità che DORA, NIS2 e l'AI Act dell'UE continuano a porre.
Devo sostituire i miei strumenti AppSec esistenti?
No. Vibe Coding Security è un modulo basato sulla piattaforma completa Plexicus ASPM. Usalo insieme ai tuoi SAST/SCA esistenti, o sostituiscili con i motori Plexicus — a tua scelta.
È gratuito per iniziare?
Sì. Gratuito per un massimo di 3 sviluppatori, senza bisogno di carta di credito. Passa al piano Team quando hai bisogno di tutte e cinque le funzionalità.
Come funziona il rilevamento dello slopsquatting?
Ogni importazione suggerita dal tuo assistente AI viene verificata in tempo reale rispetto al registro dei pacchetti reale. Se il pacchetto non esiste, è stato pubblicato negli ultimi 30 giorni con un nome sospetto, o la sua API non corrisponde alla funzione importata, Plexicus lo blocca e offre una correzione.
VIBE CODING SECURITY
Non distribuire le vulnerabilità scritte dalla tua AI.
Plexicus le intercetta nell'IDE, nella PR e in produzione. I tuoi sviluppatori non rallenteranno. Il tuo CISO tornerà a dormire sonni tranquilli.
Gratuito per un massimo di 3 sviluppatori. SOC 2 Tipo II. Supportato da Google for Startups.