45%
do código gerado por IA contém pelo menos uma falha de segurança.
Veracode, análise de mais de 4 milhões de varreduras em mais de 100 LLMs (2025).
Segurança para o código que sua IA escreveu.
Cursor, Claude Code, Copilot e agentes autônomos estão escrevendo 46% do novo código. E 45% dele é enviado com vulnerabilidades. O Plexicus Vibe Coding Security as detecta na IDE — antes que se tornem CVEs.
Gratuito para até 3 desenvolvedores. Sem cartão de crédito. Funciona em Cursor, Claude Code, VS Code, Windsurf.
Equipes pioneiras já estão dentro
Por que agora
A ameaça para a qual você ainda não tem uma ferramenta.
Cada número nesta página é citado. Estamos em uma nova categoria, então os números importam.
~20%
das importações sugeridas por IA referenciam pacotes que não existem. Atacantes já estão registrando-os.
Pesquisa Slopsquatting, 2025–2026.
46%
do novo código enviado em repositórios habilitados para Copilot é de autoria de IA.
Telemetria de uso do GitHub Copilot, 2025.
35
CVEs atribuíveis à IA divulgadas em um único mês — contra 6 dois meses antes.
Georgia Tech Vibe Security Radar, março de 2026.
Capacidades
Cinco capacidades. Uma instalação.
Capturas de tela reais, rótulos de estado reais. Nenhuma capacidade alega mais do que entrega hoje.
Pare vulnerabilidades no momento da geração.
Seu SAST é executado no commit. Seu SCA é executado no PR. Até lá, o código inseguro já foi escrito, revisado por um humano cansado e mesclado. O Vibe coding é mais rápido que ambos.
-
Instala-se como uma extensão no Cursor, Claude Code, VS Code, Windsurf e Zed. -
Intercepta sugestões em tempo real — bloqueia segredos codificados, padrões RLS-off, curingas CORS, os 15 principais CWEs. -
Reescreve a sugestão ou o prompt. Executa no dispositivo, para que seu código nunca saia do laptop.
Um commit que teria enviado uma chave do Stripe agora envia uma referência ao gerenciador de segredos — sem ação do desenvolvedor necessária.
A única camada que trata servidores MCP como cadeia de suprimentos.
Todo IDE que você usa agora se conecta a servidores MCP com acesso quase root aos seus repositórios, tickets e chat. Mercados de MCP já foram envenenados. A maioria das equipes não consegue listar os MCPs que seus desenvolvedores instalaram.
-
Inventário contínuo de cada servidor MCP por desenvolvedor, por repositório, por organização. -
Escaneia descrições de ferramentas em busca de injeção e padrões de 'puxar o tapete'. Sinaliza MCPs que mudam de comportamento após aprovação. -
Isola a execução de MCPs, limita a taxa de chamadas e corrige automaticamente quando CVEs como 2026-30615 surgem.
Em uma auditoria de uma semana, as equipes normalmente descobrem de 3 a 5 vezes mais MCPs instalados do que a equipe de segurança sabia que existiam.
Pegue pacotes que não existem — antes que invasores os registrem.
Modelos importam com confiança pacotes que nunca foram publicados. Invasores monitoram a tendência e registram esses nomes em horas. Na próxima vez que seu assistente sugerir um, ele será malicioso.
-
Valida cada importação de npm, PyPI, Cargo e Go em relação ao registro real em tempo real. -
Sinaliza pacotes publicados nos últimos 30 dias cujos nomes se assemelham a bibliotecas populares (typosquatting + slopsquatting). -
Detecta quando uma função importada não corresponde à API real da biblioteca — uma assinatura de código alucinado.
A Plexicus mantém um banco de dados proprietário dos nomes de pacotes que os modelos mais frequentemente alucinam. Ele fica mais inteligente a cada semana.
As falhas que o SAST não consegue ver — aquelas que realmente vazam dados.
Os maiores incidentes de vibe-coding dos últimos 12 meses não foram SQL injection. Foram autorização: Row-Level Security desabilitado, BOLA (Broken Object Level Authorization), endpoints que esquecem de verificar o usuário atual. SAST não detecta nada disso.
-
Análise de alcançabilidade contra Supabase, Postgres RLS e regras do Firebase — mapeia quais políticas são realmente aplicadas. -
Fuzzing direcionado para BOLA / IDOR através do agente de pentest Plexicus (Strix). -
Simulação de fluxo: o usuário A consegue acessar os dados do usuário B? Se sim, você recebe um PoC, não apenas um alerta.
Em um aplicativo típico gerado por IA com Supabase, o Plexicus revela falhas de autorização no primeiro dia que ferramentas SAST nunca sinalizam.
Assine cada linha de código com sua origem.
A Lei de IA da UE, a Lei de Resiliência Cibernética, DORA, NIS2 — todas convergindo para a mesma pergunta: qual linha do seu código enviado foi escrita por qual modelo, com qual prompt, em qual data? Ninguém consegue responder isso hoje.
-
Cada bloco de código é marcado no momento da geração: humano vs IA, nome do modelo, hash do prompt, timestamp. -
Exporta um AIBOM no formato estendido SPDX / CycloneDX — pronto para auditoria. -
Painel do CISO: qual % do código de produção é gerado por IA, por quais modelos, com qual perfil de risco por modelo.
Exporte um único PDF para sua próxima auditoria DORA, NIS2 ou Lei de IA da UE. O auditor para de fazer perguntas.
Plataforma
Não é apenas um plugin do Cursor. É uma plataforma de AppSec.
Vibe Coding Security é executado sobre a plataforma completa Plexicus ASPM. Um único contrato cobre código, dependências, segredos, infraestrutura, APIs e pentest orientado por agente — tudo unificado pelo nosso agente de remediação Codex Remedium que abre o PR para você.
SAST SCA Segredos IaC DAST Agente de pentest Strix
ASPM
Gerenciamento de Postura de Segurança de Aplicações em todo o seu código.
Learn moreCSPM
Gerenciamento de Postura de Segurança em Nuvem para cada ambiente de execução.
Learn moreSegurança de Contêineres
Segurança de imagem, registro e ambiente de execução para a pilha de contêineres.
Learn moreJá é cliente Plexicus? O Vibe Coding Security está disponível como um módulo — sem novo onboarding, sem segundo painel.
Integrações
Funciona onde seus desenvolvedores já trabalham.
Uma instalação, em cada IDE e repositório que sua equipe já usa. Sem necessidade de migração.
IDEs e Assistentes de Codificação
Cursor 
Claude Code 
Copilot 
Codex 
Kiro 
Lovable 
v0 
Antigravity Repositórios e CI
Comprovação
A pesquisa, o rastreador, a equipe.
Relatório de pesquisa
Estado da Segurança em Vibe Coding — 2026
Analisamos milhares de commits gerados por IA em projetos de código aberto. 45% são enviados com pelo menos uma falha. Aqui está a análise completa — por modelo, por linguagem, por CWE.
Baixar o relatórioRastreador ao vivo
Ameaças MCP detectadas este mês
Contador ao vivo, atualizado semanalmente: novos CVEs MCP divulgados, marketplaces onde detectamos envenenamento, incidentes de rug-pull que os clientes Plexicus evitaram.
Ver o rastreadorDepoimento de cliente
A capacidade do agente de IA de gerar automaticamente correções para vulnerabilidades transformou nosso fluxo de trabalho.
David Wilson
Chefe de Segurança, HuMaIND
FAQ
Perguntas Frequentes
O que é Vibe Coding Security?
Vibe Coding Security é uma categoria de AppSec criada para código gerado por ferramentas de codificação de IA como Cursor, Claude Code, Copilot e agentes autônomos. Ela combina guardrails na IDE, varredura de segurança MCP, detecção de pacotes alucinados, análise de autorização e proveniência de código de IA (AIBOM).
Como difere do SAST tradicional?
O SAST tradicional é executado no commit ou PR — depois que o código inseguro já foi escrito e revisado. O Plexicus intercepta na IDE, no loop de prompt/sugestão, para que padrões ruins nunca cheguem ao repositório.
Quais IDEs e assistentes de codificação são suportados?
Cursor, Claude Code, VS Code, Windsurf e Zed são suportados atualmente. JetBrains está a caminho. Todos funcionam com a extensão Plexicus e offline — seu código nunca sai do laptop.
O que é um AIBOM?
Uma Lista de Materiais de IA: um manifesto assinado de quais linhas de código foram escritas por qual modelo, com qual prompt e em qual horário. Ele responde à pergunta de conformidade que DORA, NIS2 e o EU AI Act continuam fazendo.
Preciso substituir minhas ferramentas AppSec existentes?
Não. O Vibe Coding Security é um módulo sobre a plataforma completa Plexicus ASPM. Use-o junto com seus SAST/SCA existentes, ou substitua-os pelos mecanismos Plexicus — você decide.
É gratuito para começar?
Sim. Gratuito para até 3 desenvolvedores, sem necessidade de cartão de crédito. Atualize para o Team quando precisar de todas as cinco capacidades.
Como funciona a detecção de slopsquatting?
Cada importação sugerida pelo seu assistente de IA é verificada em tempo real no registro de pacotes real. Se o pacote não existir, foi publicado nos últimos 30 dias com um nome suspeito, ou sua API não corresponde à função importada, o Plexicus o bloqueia e oferece uma correção.
VIBE CODING SECURITY
Não envie as vulnerabilidades que sua IA escreveu.
O Plexicus as detecta no IDE, no PR e em produção. Seus desenvolvedores não vão desacelerar. Seu CISO vai dormir de novo.
Gratuito para até 3 desenvolvedores. SOC 2 Tipo II. Apoiado pelo Google for Startups.