45%
van AI-gegenereerde code bevat ten minste één beveiligingsfout.
Veracode, analyse van 4M+ scans bij 100+ LLMs (2025).
Beveiliging voor code die uw AI schreef.
Cursor, Claude Code, Copilot en autonome agenten schrijven 46% van alle nieuwe code. En 45% daarvan bevat kwetsbaarheden. Plexicus Vibe Coding Security vangt ze op in de IDE — voordat ze CVEs worden.
Gratis voor maximaal 3 ontwikkelaars. Geen creditcard nodig. Werkt in Cursor, Claude Code, VS Code, Windsurf.
Voorlopende teams zijn al binnen
Waarom nu
De dreiging waarvoor u nog geen tool heeft — nog niet.
Elk getal op deze pagina is onderbouwd. We bevinden ons in een nieuwe categorie, dus de cijfers zijn belangrijk.
~20%
van AI-gesuggereerde imports verwijzen naar pakketten die niet bestaan. Aanvallers registreren ze al.
Slopsquatting-onderzoek, 2025–2026.
46%
van nieuwe code in Copilot-enabled repos is door AI geschreven.
GitHub Copilot-gebruikstelemetrie, 2025.
35
AI-toerekenbare CVEs in één maand onthuld — tegenover 6 twee maanden eerder.
Georgia Tech Vibe Security Radar, maart 2026.
Mogelijkheden
Vijf mogelijkheden. Eén installatie.
Echte schermafbeeldingen, echte statuslabels. Geen mogelijkheidsclaim die meer levert dan wat vandaag wordt verzonden.
Stop kwetsbaarheden op het moment van generatie.
Uw SAST draait bij commit. Uw SCA draait bij PR. Tegen die tijd is de onveilige code al geschreven, beoordeeld door een vermoeide mens en samengevoegd. Vibe coding beweegt sneller dan beide.
-
Installeert als extensie in Cursor, Claude Code, VS Code, Windsurf en Zed. -
Onderschept suggesties in realtime — blokkeert hardgecodeerde geheimen, RLS-uit-patronen, CORS-wildcards, de top 15 CWEs. -
Herschrijft de suggestie of de prompt. Draait op het apparaat, zodat uw code de laptop nooit verlaat.
Een commit die een Stripe-sleutel zou hebben verzonden, verzendt nu een verwijzing naar de geheimenbeheerder — geen ontwikkelaarsactie vereist.
De enige laag die MCP-servers als toeleveringsketen behandelt.
Elke IDE die je nu gebruikt, maakt verbinding met MCP-servers met bijna-roottoegang tot je repos, tickets en chat. MCP-marktplaatsen zijn al vergiftigd. De meeste teams kunnen niet opsommen welke MCP's hun ontwikkelaars hebben geïnstalleerd.
-
Continue inventarisatie van elke MCP-server per ontwikkelaar, per repo, per organisatie. -
Scant toolbeschrijvingen op injectie- en 'rug pull'-patronen. Markeert MCP's die gedrag veranderen na goedkeuring. -
Sandboxt MCP-uitvoering, beperkt aanroepen en patcht automatisch wanneer CVEs zoals 2026-30615 verschijnen.
In een week durende audit ontdekken teams doorgaans 3–5× meer geïnstalleerde MCP's dan hun beveiligingsorganisatie wist.
Pakketten opvangen die niet bestaan — voordat aanvallers ze registreren.
Modellen importeren vol vertrouwen pakketten die nooit zijn gepubliceerd. Aanvallers volgen de trend en registreren die namen binnen enkele uren. De volgende keer dat je assistent er een voorstelt, is het kwaadaardig.
-
Valideert elke npm-, PyPI-, Cargo- en Go-import in realtime tegen de echte registry. -
Markeert pakketten die in de afgelopen 30 dagen zijn gepubliceerd en waarvan de namen lijken op populaire bibliotheken (typosquatting + slopsquatting). -
Detecteert wanneer een geïmporteerde functie niet overeenkomt met de echte API van de bibliotheek — een kenmerk van gehallucineerde code.
Plexicus onderhoudt een eigen database van de pakketnamen die modellen het vaakst hallucineren. Het wordt elke week slimmer.
De fouten die SAST niet kan zien — de fouten die daadwerkelijk data lekken.
De grootste vibe-coding incidenten van de afgelopen 12 maanden waren geen SQL-injecties. Het waren autorisatieproblemen: Row-Level Security uitgeschakeld, BOLA (Broken Object Level Authorization), endpoints die vergeten de huidige gebruiker te controleren. SAST mist dit allemaal.
-
Bereikbaarheidsanalyse tegen Supabase, Postgres RLS en Firebase-regels — brengt in kaart welk beleid daadwerkelijk wordt afgedwongen. -
Gericht fuzzen voor BOLA / IDOR via de Plexicus pentest-agent (Strix). -
Stroomsimulatie: kan gebruiker A bij de gegevens van gebruiker B komen? Zo ja, dan krijg je een PoC, niet alleen een melding.
Op een typische door Supabase ondersteunde AI-gegenereerde app brengt Plexicus op dag één autorisatiefouten aan het licht die SAST-tools nooit markeren.
Elke regel code ondertekenen met zijn oorsprong.
De EU AI Act, de Cyber Resilience Act, DORA, NIS2 — allemaal komen ze samen op dezelfde vraag: welke regel van uw verzonden code is door welk model geschreven, met welke prompt, op welke datum? Niemand kan dit vandaag beantwoorden.
-
Elk codeblok wordt bij generatie getagd: mens vs AI, modelnaam, prompt-hash, tijdstempel. -
Exporteert een AIBOM in SPDX / CycloneDX uitgebreid formaat — audit-klaar. -
CISO-dashboard: welk % van de productiecode is AI-gegenereerd, door welke modellen, met welk risicoprofiel per model.
Exporteer een enkele PDF voor uw volgende DORA-, NIS2- of AI Act-audit. De auditor stopt met vragen stellen.
Platform
Het is niet alleen een Cursor-plugin. Het is een AppSec-platform.
Vibe Coding Security draait bovenop het volledige Plexicus ASPM-platform. Eén platform voor code, afhankelijkheden, geheimen, infrastructuur, API's en agent-gestuurde pentest — het laatste verenigd door onze Codex Remedium-remediatieagent die de PR voor u opent.
SAST SCA Secrets IaC DAST Strix pentest-agent
ASPM
Application Security Posture Management voor al uw code.
Learn moreCSPM
Cloud Security Posture Management voor elke runtime.
Learn moreContainerbeveiliging
Image-, registry- en runtimebeveiliging voor de containerstack.
Learn moreAl een Plexicus-klant? Vibe Coding Security is beschikbaar als module — geen hernieuwde onboarding, geen tweede dashboard.
Integraties
Werkt waar uw ontwikkelaars al werken.
Eén installatie, elke IDE en repo die uw team al gebruikt. Geen migratie vereist.
IDE's & Coderingsassistenten
Cursor 
Claude Code 
Copilot 
Codex 
Kiro 
Lovable 
v0 
Antigravity Repos & CI
Bewijs
Het onderzoek, de tracker, het team.
Onderzoeksrapport
Staat van Vibe Coding Security — 2026
We analyseerden duizenden AI-gegenereerde commits in open-sourceprojecten. 45% bevat minstens één fout. Hier is de volledige uitsplitsing — per model, per taal, per CWE.
Download het rapportLive tracker
MCP-bedreigingen deze maand onderschept
Live teller, wekelijks bijgewerkt: nieuwe MCP-CVE's bekendgemaakt, marktplaatsen waar we vergiftiging detecteerden, rug-pull-incidenten die Plexicus-klanten vermeden.
Bekijk de trackerKlantquote
Het vermogen van de AI-agent om automatisch fixes voor kwetsbaarheden te genereren, heeft onze workflow getransformeerd.
David Wilson
Hoofd Beveiliging, HuMaIND
FAQ
Veelgestelde vragen
Wat is Vibe Coding Security?
Vibe Coding Security is een AppSec-categorie die is gebouwd voor code gegenereerd door AI-codeertools zoals Cursor, Claude Code, Copilot en autonome agenten. Het combineert IDE-guardrails, MCP-beveiligingsscans, detectie van gehallucineerde pakketten, authz-analyse en AI-code-provenance (AIBOM).
Hoe verschilt het van traditionele SAST?
Traditionele SAST wordt uitgevoerd bij een commit of PR — nadat onveilige code al is geschreven en beoordeeld. Plexicus grijpt in bij de IDE, in de prompt/suggestie-loop, zodat slechte patronen nooit in de repository terechtkomen.
Welke IDE's en codeerassistenten worden ondersteund?
Cursor, Claude Code, VS Code, Windsurf en Zed worden momenteel ondersteund. JetBrains komt eraan. Allemaal werken ze met de Plexicus-extensie en offline — jouw code verlaat nooit de laptop.
Wat is een AIBOM?
Een AI Bill of Materials: een ondertekend manifest van welke regels code door welk model zijn geschreven, met welke prompt en op welk tijdstip. Het beantwoordt de compliance-vraag die DORA, NIS2 en de EU AI Act blijven stellen.
Moet ik mijn bestaande AppSec-tools vervangen?
Nee. Vibe Coding Security is een module bovenop het volledige Plexicus ASPM-platform. Gebruik het naast je bestaande SAST/SCA, of vervang ze door Plexicus-motoren — jouw keuze.
Is het gratis om te beginnen?
Ja. Gratis voor maximaal 3 ontwikkelaars, geen creditcard vereist. Upgrade naar Team wanneer je de volledige vijf mogelijkheden nodig hebt.
Hoe werkt detectie van slopsquatting?
Elke import die je AI-assistent voorstelt, wordt in realtime gecontroleerd tegen de echte pakketregister. Als het pakket niet bestaat, in de afgelopen 30 dagen is gepubliceerd met een verdachte naam, of de API niet overeenkomt met de geïmporteerde functie, blokkeert Plexicus het en biedt een oplossing.
VIBE CODING SECURITY
Verzend niet de kwetsbaarheden die je AI heeft geschreven.
Plexicus vangt ze op in de IDE, in de PR en in productie. Je ontwikkelaars worden niet vertraagd. Je CISO slaapt weer.
Gratis voor maximaal 3 ontwikkelaars. SOC 2 Type II. Ondersteund door Google for Startups.