O MCP de segurança pro seu Claude Code · Cursor · Codex

Seu SaaS feito com IA já nasce com 123 buracos. Feche todos.

A IA escreve código que funciona, não código que resiste a ataque. O VibeGuard é o MCP que arma a sua própria IA com o método pra achar e fechar as 123 lacunas que todo app vibe-coded carrega — com defaults que não derrubam o que já está no ar.

123lacunas fechadas
12frameworks cruzados
0downtime · safe-by-default
PT-BRno seu editor, via MCP
Cruzado contra 12 referências OWASPNIST CSFISO 27001 CIS v8LGPD
123 // lacunas recorrentes no app
vibe-coded médio. mapeadas,
não estimadas.
o problema

Você protege a tela e esquece o banco.

Não são bugs exóticos. É o mesmo punhado de buracos, sempre nos mesmos lugares, porque o agente de código toma sempre os mesmos atalhos.

01
Controle de acesso quebrado (IDOR/BOLA)

O usuário troca um ID na URL e lê o dado de outra pessoa. Problema nº 1 do vibe coding e o mais fácil de explorar: basta um número diferente na requisição.

02
RLS ausente ou permissivo

A trava de linha do Supabase não existe, ou "deixa todo mundo entrar". O banco vira API pública.

03
Segredo vazado no git

A service_role no front, ou commitada uma vez e viva no histórico para sempre.

04
Escalada por mass-assignment

O usuário edita role ou credits direto no request e vira admin.

05
Prompt injection no agente

Conteúdo hostil entra no contexto do LLM e vira leitura de segredo ou execução de comando.

06
Zero plano para quando vazar

Sem backup testado, sem rotação de chave, sem o gatilho de notificação à ANPD. O pânico vira prejuízo.

a solução

Um programa de segurança right-sized para quem builda sozinho.

Não é um checklist enterprise disfarçado. É uma metodologia servida pela sua IA via MCP, na ordem exata de uso, cada controle marcado como crítico-pra-você ou teatro-enterprise que você pula sem culpa.

Aditivo, nunca destrutivo

Cada controle soma proteção sem remover função. CSP em report-only, RLS policy-antes-de-ligar, rate-limit fail-open, testes destrutivos só em staging. Aplicar VibeGuard não derruba um SaaS que já funciona — essa é a regra suprema do método.

Por arquétipo

App Supabase, agente de IA, HTML cifrado offline, estático: cada um recebe só os controles que fazem sentido. Sem desperdício.

A sua IA executa, você aprova

Instrução, SQL de RLS e scripts curl chegam pela sua IA (Claude Code/Cursor). Prova binária: rodou, recebeu 403, fechou.

Um dia, 80% do risco

O MVP de Segurança entrega os controles essenciais que pegam a maior fatia do risco real em um dia. O resto do catálogo, no seu ritmo.

o que tem dentro · 7 fases

A trilha completa, na ordem de uso.

FASE 0 · COMECE AQUI

Fundação & gate

Mega-prompt master pra colar na IA, MVP de controles essenciais, gate GO/NO-GO pré-deploy e o guia de aplicar sem quebrar.

FASE 1 · FUNDAÇÃO

Segredos & ameaças

Política de gestão de segredos, inventário, rotação por provedor e threat model leve por STRIDE, por tipo de sistema.

FASE 2 · CONTROLES

Online, offline & IA

Frente web (RLS, CORS, headers, JWT), sistemas offline cifrados, Edge Functions/APIs e segurança de agentes LLM.

FASE 3 · TESTE

Ataque o próprio app

Bateria black-box de curl/bash: IDOR, bypass de RLS, escalada de privilégio, injeção. Prova real, não no papel.

FASE 4 · AUTOMAÇÃO

CI & supply-chain

Pipeline de CI de segurança, secret scanning no commit e no histórico, e gestão contínua de dependências.

FASE 5 · MONITORAMENTO

Detecção & resposta

Alertas prontos (do evento ao seu celular), playbook de resposta a incidente e continuidade/backup 3-2-1.

FASE 6 · GOVERNANÇA

Compliance & risco

Inventário de ativos, classificação, matriz de risco 3×3 e o gatilho de notificação LGPD à ANPD.

RELATÓRIOS + BÔNUS

Matriz dos 123 + revisor contínuo

As 123 lacunas cruzadas com as 12 lentes, matriz de risco e plano de evolução, mais o agente revisor que aponta furos a cada diff. Tudo servido pela sua IA via MCP, sempre atualizado, nunca baixado.

como funciona

Três passos. Diagnóstico antes de tudo.

conecte

O MCP no seu editor

Você cola uma linha de config no Claude Code, Cursor ou Codex. A sua IA ganha acesso à metodologia gated, sempre atualizada, sem baixar nada.

diagnostique

Rode o diagnóstico grátis

A sua IA aponta o que falta e em que ordem corrigir, marcando o que pode quebrar. Nada é aplicado sem o seu "pode aplicar".

aplique

Um controle por vez, com gate

Você aplica fase por fase, testando o fluxo afetado, com o gate GO/NO-GO antes de cada deploy. Reversível, aditivo, sem surpresa.

pra quem é

Honesto sobre quem deve comprar.

É pra você se…

  • Você builda SaaS com IA (Lovable, Bolt, Cursor, v0) — Supabase, Firebase/Firestore ou Next + Postgres atrás.
  • Não tem background em segurança e não quer virar especialista.
  • Já tem algo no ar e tem medo de quebrar mexendo em segurança.
  • Roda agente de IA com acesso a ferramentas (shell, arquivos, web).
  • Quer um caminho pronto, em PT-BR, sem garimpar OWASP no escuro.

Não é pra você se…

  • × Você tem um time de segurança e um SOC rodando.
  • × Precisa de certificação ISO/SOC 2 formal com auditor.
  • × Quer uma ferramenta que "resolve sozinha" sem você ler nada.
  • × Procura pentest terceirizado, não um método pra aplicar você mesmo.
por que confiar no método

A prova está no rigor, não no hype.

Mapeado, não achado no escuro

Cada lacuna vem do cruzamento deduplicado de referências reconhecidas (OWASP, NIST, ISO, CIS, LGPD…), não da cabeça de ninguém. Padrão de mercado, recortado para o tamanho de um dev solo.

Prova binária, não opinião

Cada controle termina numa checagem que passa ou não passa: rodou o curl, recebeu 403, fechou. "Configurei" não conta — o teste conta.

Não quebra o que está no ar

Defaults safe-by-default em todo controle: observa antes de bloquear, cria a policy antes de ligar o RLS, falha aberto no login. Você aplica sem rezar.

cobertura

As 12 lentes que nada deixa escapar.

OWASP Top 10OWASP APIOWASP LLMASVSNIST CSF 2.0ISO 27001/27002CIS v8SOC 2LGPD / GDPRMITRE ATT&CK / ATLASDevSecOpsSupply-chain
Supply-chainDevSecOpsMITRE ATT&CK / ATLASLGPD / GDPRSOC 2CIS v8ISO 27001/27002NIST CSF 2.0ASVSOWASP LLMOWASP APIOWASP Top 10
engine de segurança

Segurança além do básico.

A profundidade vem do cruzamento de frameworks reconhecidos, não de contador de vaidade. Cada número abaixo a gente sustenta.

123
Pontos de segurança mapeados
deduplicados de 12 frameworks
12
Frameworks de referência cruzados
OWASP · NIST · ISO · CIS · LGPD…
38
Controles com critério de pronto
cada um com teste binário
10
Vetores de ataque simulados
scripts GO / NO-GO
6
Arquétipos de stack cobertos
Supabase · Firebase · Next · IA…
0
Linhas do seu código enviadas
a análise roda na sua máquina
o que é auditado em cada projeto
Autenticação Controle de acesso RLS Policies APIs Secrets Banco de dados Configurações cloud Headers de segurança Permissões Exposição de dados
VibeGuard Insights
Falha mais comum
Políticas de acesso (RLS) ausentes ou mal configuradas.
Maior risco
Exposição indevida de dados de usuários.
Foco do método
Fechar tudo antes de ir para produção.
o que o método revela

Os achados que passam batido quando você builda sozinho.

Exemplos reais do catálogo — o tipo de falha que o diagnóstico encontra e fecha antes do deploy num SaaS vibe-coded típico.

Vira admin no próprio cadastro

O INSERT do perfil aceita role:'admin' junto: o usuário se promove sozinho ao criar a conta. Mass assignment que a trava de UPDATE não pega.

O relatório devolve o dado de todos

Uma VIEW sobre tabela protegida roda sem security_invoker e ignora o RLS: o painel de um usuário lista o banco inteiro. IDOR em massa disfarçado de relatório.

Conta aberta com e-mail que não é seu

Signup com confirmação de e-mail desligada deixa qualquer um registrar admin@suaempresa.com sem provar posse. Base pra forjar identidade e sequestrar fluxo.

O upload vira XSS armazenado

Validação de tipo só no front é contornável: um HTML/SVG com script sobe direto e é servido inline de bucket público. Documento sensível também vaza por URL adivinhável.

Cupom de 100 usos resgatado 500 vezes

Sem incremento atômico no teto, requisições simultâneas leem o contador abaixo do limite ao mesmo tempo e todas passam. Prejuízo direto por corrida.

A chave god-mode no bundle do front

A service_role ignora o RLS inteiro. Colada no cliente "pra funcionar", ela dá leitura total do banco a quem abrir o DevTools.

planos

Comece grátis. Assine quando quiser o conserto.

O diagnóstico é grátis: o mapa e as prioridades do seu app. Os planos destravam os controles com critério de pronto, o checklist de review e os scripts de ataque, servidos pela sua IA. Sem plano mensal.

diagnóstico
Grátis
R$ 0
sem cartão
  • Diagnóstico por seleção: o escopo do seu app
  • Roadmap priorizado, fase a fase
  • 1 controle completo (RLS) de brinde
  • A sua IA dá a primeira passada no código
▸ começar grátis
6 meses
Semestral
R$ 347/semestre
~R$ 58/mês · economize ~12%
  • Tudo do trimestral
  • 6 meses de método e revisor atualizados
  • Ideal pra quem já tem app no ar
▸ assinar semestral
melhor valor
12 meses
Anual
R$ 597/ano
~R$ 50/mês · 2 meses grátis
  • Tudo do trimestral
  • O menor preço por mês
  • Cobertura contínua o ano todo
▸ assinar anual
garantia de 7 dias · reembolso integral (CDC art. 49)

A IA que analisa é a sua (Claude Code, Cursor) — você não paga inferência à parte, e o seu código nunca sai da sua máquina. Renova automaticamente ao fim do período; avisamos antes e você cancela quando quiser, sem multa e sem fidelidade — o acesso vale até o fim do período já pago.

dúvidas

Perguntas frequentes

Aplicar isso vai quebrar meu app que já está no ar?
Não, e essa é a regra suprema do VibeGuard. Todo controle é aditivo e os defaults são seguros por desenho: a CSP entra em report-only (observa antes de bloquear), a policy de RLS é criada antes de ligar o RLS, o rate-limit é fail-open (nunca trava o login), e os testes destrutivos rodam só em staging. Onde algo é irreversível, o método manda parar e avisar.
Preciso saber programar segurança pra usar?
Não. Foi feito para quem builda com IA sem background em segurança. Você conecta o MCP e a sua IA passa a seguir o método: recebe um diagnóstico em ordem e aplica fase a fase. Cada controle tem uma checagem binária: rodou, recebeu o resultado seguro, fechou.
Serve pro meu stack?
Foco em SaaS vibe-coded (Lovable/Bolt/Cursor/v0). O núcleo é Supabase + Edge Functions + Vercel/Next, mas também cobre backend sem Supabase — Firebase/Firestore (Security Rules), Next + Postgres puro, e auth via Auth0/Clerk. Mais agentes de IA/LLM, HTML cifrado offline e sites estáticos. Cada arquétipo recebe só os controles que fazem sentido pra ele.
Em qual editor funciona?
Nos que suportam MCP remoto: Claude Code e Cursor (suporte completo) e Codex. Quem usa Lovable ou Bolt roda o VibeGuard via Claude Code ou Cursor apontado pro repositório do projeto. É uma linha de configuração, sem instalar nada pesado.
Quanto tempo leva pra aplicar?
O diagnóstico sai na hora. O MVP dos controles críticos fecha a maior fatia do risco em cerca de um dia; o resto você roda no seu ritmo, fase por fase, sem prazo, sempre com a aplicação só quando você autoriza.
Não consigo pedir isso pro Claude/Cursor de graça?
Pode pedir — e vai receber respostas genéricas, fora de ordem e às vezes destrutivas, sem saber o que não ligar pra não quebrar seu app. O VibeGuard é o método que a sua IA segue: a sequência certa, os defaults seguros, o que é teatro-enterprise que você pula, e o teste binário que prova que fechou. Você não está pagando por texto; está pagando pelo caminho que evita o vazamento e o downtime.
Como recebo? Preciso baixar algo?
Não baixa nada. Você assina, recebe uma linha de configuração e cola no seu editor (Claude Code, Cursor ou Codex). A metodologia é servida ao vivo pela sua própria IA via MCP, sempre atualizada, sem arquivo no seu disco — o que também protege o método de ser copiado.
Quem paga a IA que analisa o código?
A IA é a sua: o Claude Code ou Cursor que você já usa. O VibeGuard entrega a metodologia e a sua IA faz a análise e a correção com os tokens que você já paga. Não há cobrança de inferência à parte, e o seu código nunca sai da sua máquina.
É assinatura? Como é o preço?
Tem um diagnóstico grátis (mapa e prioridades do seu app, sem cartão) e planos pagos: trimestral (R$ 197), semestral (R$ 347) e anual (R$ 597). Não há plano mensal; o diagnóstico grátis é a porta de entrada. Enquanto ativo, o acesso vale pra todos os seus projetos.
Tem garantia? E se eu cancelar?
Sim, 7 dias de garantia — o direito de arrependimento do art. 49 do CDC — com reembolso integral. Depois disso, você cancela quando quiser: o acesso continua até o fim do período já pago e não há cobrança seguinte, sem multa e sem fidelidade.
última chamada

O atacante já sabe onde estão os 123 buracos. Agora você também.

Rode o diagnóstico grátis e veja os seus. Feche antes que alguém encontre — sem quebrar o que você levou meses construindo.

▸ começar com diagnóstico grátis
Diagnóstico grátisplanos a partir de R$ 197/tri
▸ começar grátis