45%
mã do AI tạo ra chứa ít nhất một lỗ hổng bảo mật.
Veracode, phân tích hơn 4 triệu lần quét trên 100+ LLM (2025).
Bảo mật cho mã mà AI của bạn đã viết.
Cursor, Claude Code, Copilot và các tác nhân tự động đang viết 46% mã mới. Và 45% trong số đó được phát hành với lỗ hổng bảo mật. Plexicus Vibe Coding Security phát hiện chúng trong IDE — trước khi chúng trở thành CVE.
Miễn phí cho tối đa 3 nhà phát triển. Không cần thẻ tín dụng. Hoạt động trong Cursor, Claude Code, VS Code, Windsurf.
Các đội tiên phong đã có mặt
Tại sao bây giờ
Mối đe dọa mà bạn chưa có công cụ — cho đến bây giờ.
Mọi con số trên trang này đều được trích dẫn. Chúng ta đang ở trong một danh mục mới, vì vậy toán học rất quan trọng.
~20%
các import do AI đề xuất tham chiếu đến các gói không tồn tại. Kẻ tấn công đã đăng ký chúng.
Nghiên cứu Slopsquatting, 2025–2026.
46%
mã mới được phát hành trong các kho lưu trữ hỗ trợ Copilot là do AI tạo ra.
Dữ liệu đo từ xa sử dụng GitHub Copilot, 2025.
35
CVE có thể quy cho AI được tiết lộ trong một tháng — tăng từ 6 hai tháng trước đó.
Georgia Tech Vibe Security Radar, tháng 3 năm 2026.
Khả năng
Năm khả năng. Một lần cài đặt.
Ảnh chụp màn hình thực, nhãn trạng thái thực. Không có tuyên bố khả năng nào vượt quá những gì đã cung cấp hôm nay.
Ngăn chặn lỗ hổng ngay tại thời điểm tạo mã.
SAST của bạn chạy khi cam kết. SCA của bạn chạy khi yêu cầu kéo. Lúc đó mã không an toàn đã được viết, được xem xét bởi một người mệt mỏi và được hợp nhất. Vibe coding di chuyển nhanh hơn cả hai.
-
Cài đặt như một tiện ích mở rộng trong Cursor, Claude Code, VS Code, Windsurf và Zed. -
Chặn các gợi ý trong thời gian thực — chặn các bí mật được mã hóa cứng, các mẫu tắt RLS, ký tự đại diện CORS, 15 CWE hàng đầu. -
Viết lại gợi ý hoặc lời nhắc. Chạy trên thiết bị, vì vậy mã của bạn không bao giờ rời khỏi máy tính xách tay.
Một cam kết lẽ ra đã gửi khóa Stripe giờ đây gửi một tham chiếu đến trình quản lý bí mật — không cần hành động của nhà phát triển.
Lớp duy nhất coi các máy chủ MCP như chuỗi cung ứng.
Mọi IDE bạn đang sử dụng đều kết nối với các máy chủ MCP với quyền truy cập gần như root vào kho lưu trữ, ticket và chat của bạn. Các chợ MCP đã bị đầu độc. Hầu hết các nhóm không thể liệt kê các MCP mà nhà phát triển của họ đã cài đặt.
-
Kiểm kê liên tục mọi máy chủ MCP theo từng nhà phát triển, từng kho lưu trữ, từng tổ chức. -
Quét các mô tả công cụ để tìm các mẫu tiêm nhiễm và 'rug pull'. Đánh dấu các MCP thay đổi hành vi sau khi được phê duyệt. -
Cách ly thực thi MCP, giới hạn tốc độ gọi và tự động vá lỗi khi các CVE như 2026-30615 xuất hiện.
Trong một cuộc kiểm toán kéo dài một tuần, các nhóm thường phát hiện số MCP được cài đặt nhiều gấp 3–5 lần so với những gì bộ phận bảo mật của họ biết.
Bắt các gói không tồn tại — trước khi kẻ tấn công đăng ký chúng.
Các mô hình tự tin nhập các gói chưa bao giờ được xuất bản. Kẻ tấn công theo dõi xu hướng và đăng ký các tên đó trong vòng vài giờ. Lần tiếp theo trợ lý của bạn đề xuất một gói, nó đã độc hại.
-
Xác thực mọi lệnh nhập npm, PyPI, Cargo và Go so với kho lưu trữ thực tế theo thời gian thực. -
Đánh dấu các gói được xuất bản trong 30 ngày qua có tên giống với các thư viện phổ biến (typosquatting + slopsquatting). -
Phát hiện khi một hàm được nhập không khớp với API thực tế của thư viện — một dấu hiệu của mã bị ảo giác.
Plexicus duy trì một cơ sở dữ liệu độc quyền về các tên gói mà các mô hình thường xuyên bị ảo giác nhất. Nó trở nên thông minh hơn mỗi tuần.
Các lỗ hổng mà SAST không thể thấy — những lỗ hổng thực sự làm rò rỉ dữ liệu.
Những sự cố vibe-coding lớn nhất trong 12 tháng qua không phải là SQL injection. Chúng là ủy quyền: Row-Level Security bị vô hiệu hóa, BOLA (Broken Object Level Authorization), các endpoint quên kiểm tra người dùng hiện tại. SAST bỏ sót tất cả.
-
Phân tích khả năng tiếp cận đối với Supabase, Postgres RLS và các quy tắc Firebase — ánh xạ chính sách nào thực sự được thực thi. -
Fuzzing có định hướng cho BOLA / IDOR thông qua tác nhân pentest Plexicus (Strix). -
Mô phỏng luồng: người dùng A có thể truy cập dữ liệu của người dùng B không? Nếu có, bạn nhận được PoC, không chỉ là cảnh báo.
Trên một ứng dụng do AI tạo ra điển hình dựa trên Supabase, Plexicus phát hiện lỗ hổng ủy quyền ngay ngày đầu tiên mà các công cụ SAST không bao giờ gắn cờ.
Ký từng dòng mã với nguồn gốc của nó.
Đạo luật AI của EU, Đạo luật về khả năng phục hồi mạng, DORA, NIS2 — tất cả đều hội tụ vào cùng một câu hỏi: dòng mã nào trong mã đã phát hành của bạn được viết bởi mô hình nào, với lời nhắc nào, vào ngày nào? Không ai có thể trả lời điều này hôm nay.
-
Mọi khối mã đều được gắn thẻ tại thời điểm tạo: con người so với AI, tên mô hình, hàm băm lời nhắc, dấu thời gian. -
Xuất AIBOM ở định dạng mở rộng SPDX / CycloneDX — sẵn sàng cho kiểm toán. -
Bảng điều khiển CISO: % mã sản xuất do AI tạo ra, bởi mô hình nào, với hồ sơ rủi ro nào cho mỗi mô hình.
Xuất một PDF duy nhất cho cuộc kiểm toán DORA, NIS2 hoặc AI Act tiếp theo của bạn. Kiểm toán viên ngừng đặt câu hỏi.
Nền tảng
Nó không chỉ là một plugin Cursor. Nó là một nền tảng AppSec.
Vibe Coding Security chạy trên nền tảng ASPM đầy đủ của Plexicus. Một hợp đồng bao gồm mã, phụ thuộc, bí mật, cơ sở hạ tầng, API và pentest do tác nhân điều khiển — tất cả được thống nhất bởi tác nhân khắc phục Codex Remedium của chúng tôi, người mở PR cho bạn.
SAST SCA Secrets IaC DAST Tác nhân kiểm thử thâm nhập Strix
ASPM
Quản lý Tư thế Bảo mật Ứng dụng trên toàn bộ mã nguồn của bạn.
Learn moreCSPM
Quản lý Tư thế Bảo mật Đám mây cho mọi môi trường chạy.
Learn moreBảo mật Container
Bảo mật hình ảnh, registry và môi trường chạy cho ngăn xếp container.
Learn moreĐã là khách hàng của Plexicus? Vibe Coding Security có sẵn dưới dạng mô-đun — không cần đăng ký lại, không cần bảng điều khiển thứ hai.
Tích hợp
Hoạt động ở nơi các nhà phát triển của bạn đã làm việc.
Một lần cài đặt, mọi IDE và kho lưu trữ mà nhóm của bạn đã sử dụng. Không cần di chuyển.
IDE & Trợ lý Mã hóa
Cursor 
Claude Code 
Copilot 
Codex 
Kiro 
Lovable 
v0 
Antigravity Kho lưu trữ & CI
Bằng chứng
Nghiên cứu, trình theo dõi, đội ngũ.
Báo cáo nghiên cứu
Tình trạng Bảo mật Mã hóa Vibe — 2026
Chúng tôi đã phân tích hàng nghìn commit do AI tạo ra trên các dự án mã nguồn mở. 45% có ít nhất một lỗ hổng. Đây là bảng phân tích đầy đủ — theo mô hình, theo ngôn ngữ, theo CWE.
Tải báo cáoTrình theo dõi trực tiếp
Các mối đe dọa MCP bị phát hiện trong tháng này
Bộ đếm trực tiếp, cập nhật hàng tuần: Các CVE MCP mới được tiết lộ, các chợ nơi chúng tôi phát hiện nhiễm độc, các sự cố rug-pull mà khách hàng Plexicus đã tránh được.
Xem trình theo dõiLời khách hàng
Khả năng tự động tạo bản sửa lỗi cho các lỗ hổng của tác nhân AI đã thay đổi quy trình làm việc của chúng tôi.
David Wilson
Trưởng phòng Bảo mật, HuMaIND
FAQ
Các câu hỏi thường gặp
Vibe Coding Security là gì?
Vibe Coding Security là một danh mục AppSec được xây dựng cho mã được tạo bởi các công cụ mã hóa AI như Cursor, Claude Code, Copilot và các tác nhân tự động. Nó kết hợp các rào chắn IDE, quét bảo mật MCP, phát hiện gói ảo giác, phân tích authz và nguồn gốc mã AI (AIBOM).
Nó khác gì so với SAST truyền thống?
SAST truyền thống chạy khi commit hoặc PR — sau khi mã không an toàn đã được viết và xem xét. Plexicus can thiệp tại IDE, trong vòng lặp gợi ý/đề xuất, để các mẫu xấu không bao giờ lọt vào kho lưu trữ.
Những IDE và trợ lý mã hóa nào được hỗ trợ?
Cursor, Claude Code, VS Code, Windsurf và Zed hiện được hỗ trợ. JetBrains sắp có. Tất cả đều chạy với tiện ích mở rộng Plexicus và hoạt động ngoại tuyến — mã của bạn không bao giờ rời khỏi máy tính xách tay.
AIBOM là gì?
Một Bảng kê khai Vật liệu AI: một bản kê khai đã ký về những dòng mã nào được viết bởi mô hình nào, với gợi ý nào, vào thời gian nào. Nó trả lời câu hỏi tuân thủ mà DORA, NIS2 và EU AI Act liên tục đặt ra.
Tôi có phải thay thế các công cụ AppSec hiện tại của mình không?
Không. Vibe Coding Security là một mô-đun nằm trên nền tảng ASPM Plexicus đầy đủ. Sử dụng nó cùng với các công cụ SAST/SCA hiện có của bạn, hoặc thay thế chúng bằng các công cụ của Plexicus — tùy bạn.
Có miễn phí để bắt đầu không?
Có. Miễn phí cho tối đa 3 nhà phát triển, không yêu cầu thẻ tín dụng. Nâng cấp lên Team khi bạn cần đầy đủ năm khả năng.
Tính năng phát hiện slopsquatting hoạt động như thế nào?
Mọi lần nhập (import) mà trợ lý AI của bạn đề xuất đều được kiểm tra với kho gói thực tế theo thời gian thực. Nếu gói không tồn tại, được xuất bản trong 30 ngày qua với tên đáng ngờ, hoặc API của nó không khớp với hàm đã nhập, Plexicus sẽ chặn nó và đưa ra giải pháp khắc phục.
VIBE CODING SECURITY
Đừng phát hành các lỗ hổng bảo mật mà AI của bạn đã viết.
Plexicus phát hiện chúng trong IDE, trong PR và trong sản xuất. Các nhà phát triển của bạn sẽ không bị chậm lại. CISO của bạn sẽ có thể ngủ ngon trở lại.
Miễn phí cho tối đa 3 nhà phát triển. SOC 2 Loại II. Được hỗ trợ bởi Google for Startups.