45%
AI tarafından oluşturulan kodun en az bir güvenlik açığı içeriyor.
Veracode, 100+ LLM'de 4M+ tarama analizi (2025).
AI'nızın yazdığı kod için güvenlik.
Cursor, Claude Code, Copilot ve otonom ajanlar yeni kodun %46'sını yazıyor. Ve bunun %45'i güvenlik açıklarıyla yayınlanıyor. Plexicus Vibe Coding Security, bunları IDE'de yakalar — CVE haline gelmeden önce.
3 geliştiriciye kadar ücretsiz. Kredi kartı gerekmez. Cursor, Claude Code, VS Code, Windsurf'te çalışır.
Öncü ekipler şimdiden bizimle
Neden şimdi
Henüz aracınız olmayan tehdit.
Bu sayfadaki her sayı kaynak gösterilmiştir. Yeni bir kategorideyiz, bu yüzden matematik önemlidir.
~%20
AI tarafından önerilen içe aktarmaların var olmayan paketlere referans veriyor. Saldırganlar bunları zaten kaydediyor.
Slopsquatting araştırması, 2025–2026.
46%
Copilot etkin depolarında gönderilen yeni kodun AI tarafından yazılmış olması.
GitHub Copilot kullanım telemetrisi, 2025.
35
Tek bir ayda açıklanan AI kaynaklı CVE — iki ay önceki 6'dan yükseldi.
Georgia Tech Vibe Security Radar, Mart 2026.
Yetenekler
Beş yetenek. Tek kurulum.
Gerçek ekran görüntüleri, gerçek durum etiketleri. Hiçbir yetenek, bugün teslim ettiğinden fazlasını iddia etmez.
Güvenlik açıklarını oluşturulma anında durdurun.
SAST'niz commit'te çalışır. SCA'nız çekme isteğinde çalışır. O zamana kadar güvensiz kod zaten yazılmış, yorgun bir insan tarafından incelenmiş ve birleştirilmiştir. Vibe coding ikisinden de daha hızlı hareket eder.
-
Cursor, Claude Code, VS Code, Windsurf ve Zed'de bir eklenti olarak kurulur. -
Önerileri gerçek zamanlı olarak engeller — sabit kodlanmış sırları, RLS-kapalı kalıplarını, CORS joker karakterlerini, en önemli 15 CWE'yi bloke eder. -
Öneriyi veya istemi yeniden yazar. Cihazda çalışır, böylece kodunuz asla dizüstü bilgisayardan ayrılmaz.
Bir Stripe anahtarı gönderecek olan bir commit, artık sır yöneticisine bir referans gönderir — herhangi bir geliştirici eylemi gerektirmez.
MCP sunucularını tedarik zinciri olarak ele alan tek katman.
Kullandığınız her IDE, depolarınıza, biletlerinize ve sohbetlerinize neredeyse kök erişimiyle MCP sunucularına bağlanır. MCP pazaryerleri zaten zehirlenmiş durumda. Çoğu ekip, geliştiricilerinin hangi MCP'leri yüklediğini listeleyemiyor.
-
Geliştirici, depo ve organizasyon başına her MCP sunucusunun sürekli envanteri. -
Araç açıklamalarını enjeksiyon ve 'halı çekme' desenleri için tarar. Onaydan sonra davranış değiştiren MCP'leri işaretler. -
MCP yürütmesini kum havuzuna alır, çağrıları hız sınırlar ve 2026-30615 gibi CVE'ler düştüğünde otomatik olarak yama uygular.
Bir haftalık denetimde, ekipler genellikle güvenlik birimlerinin bildiğinden 3-5 kat daha fazla MCP yüklü olduğunu keşfeder.
Saldırganlar kaydetmeden önce var olmayan paketleri yakalayın.
Modeller, hiç yayınlanmamış paketleri güvenle içe aktarır. Saldırganlar bu eğilimi izler ve bu adları saatler içinde kaydeder. Asistanınız bir sonraki sefer birini önerdiğinde, kötü niyetlidir.
-
Her npm, PyPI, Cargo ve Go içe aktarmasını gerçek kayıt defterine karşı gerçek zamanlı olarak doğrular. -
Son 30 günde yayınlanan ve popüler kütüphanelere benzeyen adlara sahip paketleri işaretler (yazım hatası avcılığı + slopsquatting). -
İçe aktarılan bir işlevin gerçek kütüphanenin API'siyle eşleşmediğini tespit eder — bu, halüsinasyon gören kodun bir işaretidir.
Plexicus, modellerin en sık halüsinasyon gördüğü paket adlarının özel bir veritabanını korur. Her hafta daha akıllı hale gelir.
SAST'ın göremediği kusurlar — aslında veri sızdıranlar.
Son 12 ayın en büyük vibe-coding olayları SQL enjeksiyonu değildi. Bunlar yetkilendirmeydi: Satır Düzeyinde Güvenlik devre dışı bırakılmış, BOLA (Bozuk Nesne Düzeyinde Yetkilendirme), geçerli kullanıcıyı kontrol etmeyi unutan uç noktalar. SAST bunların hiçbirini yakalayamıyor.
-
Supabase, Postgres RLS ve Firebase kurallarına karşı erişilebilirlik analizi — hangi politikaların gerçekten uygulandığını haritalar. -
Plexicus pentest ajanı (Strix) aracılığıyla BOLA / IDOR için yönlendirilmiş fuzzing. -
Akış simülasyonu: Kullanıcı A, kullanıcı B'nin verilerine ulaşabilir mi? Cevetse, sadece bir uyarı değil, bir PoC alırsınız.
Tipik bir Supabase destekli AI tarafından oluşturulmuş uygulamada, Plexicus ilk günde SAST araçlarının asla işaretlemediği yetkilendirme kusurlarını ortaya çıkarır.
Her kod satırını kaynağıyla imzalayın.
AB Yapay Zeka Yasası, Siber Dayanıklılık Yasası, DORA, NIS2 — hepsi aynı soruda birleşiyor: Gönderdiğiniz kodun hangi satırı hangi model tarafından, hangi komutla, hangi tarihte yazıldı? Bugün kimse buna cevap veremiyor.
-
Her kod bloğu oluşturulma anında etiketlenir: insan vs AI, model adı, komut karması, zaman damgası. -
SPDX / CycloneDX genişletilmiş formatında bir AIBOM dışa aktarır — denetime hazır. -
CISO panosu: üretim kodunun yüzde kaçı AI tarafından oluşturuldu, hangi modeller tarafından, model başına hangi risk profiliyle.
Bir sonraki DORA, NIS2 veya AI Yasası denetiminiz için tek bir PDF dışa aktarın. Denetçi soru sormayı bırakır.
Platform
Bu sadece bir Cursor eklentisi değil. Bir AppSec platformu.
Vibe Coding Security, tam Plexicus ASPM platformu üzerinde çalışır. Tek bir sözleşme kod, bağımlılıklar, sırlar, altyapı, API'ler ve ajan odaklı pentest'i kapsar — sonuncusu sizin için PR'ı açan Codex Remedium düzeltme ajanımız tarafından birleştirilir.
SAST SCA Sırlar IaC DAST Strix sızma testi ajanı
ASPM
Tüm kodunuzda Uygulama Güvenliği Duruş Yönetimi.
Learn moreCSPM
Her çalışma zamanı için Bulut Güvenliği Duruş Yönetimi.
Learn moreKapsayıcı Güvenliği
Kapsayıcı yığını için görüntü, kayıt defteri ve çalışma zamanı güvenliği.
Learn moreZaten bir Plexicus müşterisi misiniz? Vibe Coding Security bir modül olarak kullanılabilir — yeniden kayıt olmanıza veya ikinci bir gösterge panosuna gerek yok.
Entegrasyonlar
Geliştiricilerinizin zaten çalıştığı yerde çalışır.
Tek kurulum, ekibinizin kullandığı her IDE ve depo. Geçiş gerekmez.
IDE'ler ve Kodlama Asistanları
Cursor 
Claude Code 
Copilot 
Codex 
Kiro 
Lovable 
v0 
Antigravity Depolar ve CI
Kanıt
Araştırma, izleyici, ekip.
Araştırma raporu
Vibe Coding Security'nin Durumu — 2026
Açık kaynak projelerde binlerce yapay zeka tarafından oluşturulan commit'i analiz ettik. %45'i en az bir kusurla yayınlanıyor. İşte model, dil ve CWE'ye göre tam döküm.
Raporu indirCanlı izleyici
Bu ay yakalanan MCP tehditleri
'Haftalık güncellenen canlı sayaç: yeni açıklanan MCP CVE'leri, zehirlenme tespit ettiğimiz pazaryerleri, Plexicus müşterilerinin kaçındığı rug-pull olayları.'
İzleyiciyi görünMüşteri yorumu
Yapay zeka ajanının güvenlik açıkları için otomatik olarak düzeltmeler oluşturma yeteneği, iş akışımızı dönüştürdü.
David Wilson
Güvenlik Başkanı, HuMaIND
FAQ
Sıkça Sorulan Sorular
Vibe Coding Security nedir?
Vibe Coding Security, Cursor, Claude Code, Copilot ve otonom ajanlar gibi yapay zeka kodlama araçları tarafından oluşturulan kodlar için oluşturulmuş bir AppSec kategorisidir. IDE korkulukları, MCP güvenlik taraması, halüsinasyonlu paket tespiti, yetkilendirme analizi ve yapay zeka kod kaynağı (AIBOM) birleştirir.
Geleneksel SAST'ten farkı nedir?
Geleneksel SAST, güvensiz kod zaten yazılıp incelendikten sonra, commit veya PR'da çalışır. Plexicus, IDE'de, istem/öneri döngüsünde müdahale eder, böylece kötü desenler depoya asla girmez.
Hangi IDE'ler ve kodlama asistanları destekleniyor?
Cursor, Claude Code, VS Code, Windsurf ve Zed şu anda desteklenmektedir. JetBrains yakında geliyor. Hepsi Plexicus eklentisiyle çalışır ve çevrimdışı çalışır — kodunuz asla dizüstü bilgisayardan ayrılmaz.
AIBOM nedir?
Bir Yapay Zeka Malzeme Listesi: hangi kod satırlarının hangi model tarafından, hangi istemle, hangi zamanda yazıldığını gösteren imzalı bir bildirim. DORA, NIS2 ve AB AI Yasası'nın sürekli sorduğu uyumluluk sorusunu yanıtlar.
Mevcut AppSec araçlarımı değiştirmem gerekiyor mu?
Hayır. Vibe Coding Security, tam Plexicus ASPM platformunun üzerinde yer alan bir modüldür. Mevcut SAST/SCA araçlarınızla birlikte kullanın veya Plexicus motorlarıyla değiştirin — size kalmış.
Başlamak ücretsiz mi?
Evet. 3 geliştiriciye kadar ücretsiz, kredi kartı gerekmez. Tam beş yeteneğe ihtiyacınız olduğunda Takım'a yükseltin.
Slopsquatting tespiti nasıl çalışır?
Yapay zeka asistanınızın önerdiği her içe aktarma, gerçek paket kaydına karşı gerçek zamanlı olarak kontrol edilir. Paket mevcut değilse, son 30 gün içinde şüpheli bir adla yayınlanmışsa veya API'si içe aktarılan işlevle eşleşmiyorsa, Plexicus onu engeller ve bir düzeltme sunar.
VIBE CODING SECURITY
Yapay zekanızın yazdığı güvenlik açıklarını göndermeyin.
Plexicus, IDE'de, PR'da ve üretimde bunları yakalar. Geliştiricileriniz yavaşlamaz. CISO'nuz tekrar rahat uyur.
3 geliştiriciye kadar ücretsiz. SOC 2 Tip II. Google for Startups tarafından desteklenmektedir.