Seu SaaS feito com IA já nasce com 123 buracos. Feche todos.
A IA escreve código que funciona, não código que resiste a ataque. O VibeGuard é o MCP que arma a sua própria IA com o método pra achar e fechar as 123 lacunas que todo app vibe-coded carrega — com defaults que não derrubam o que já está no ar.
vibe-coded médio. mapeadas,
não estimadas.
Você protege a tela e esquece o banco.
Não são bugs exóticos. É o mesmo punhado de buracos, sempre nos mesmos lugares, porque o agente de código toma sempre os mesmos atalhos.
O usuário troca um ID na URL e lê o dado de outra pessoa. Problema nº 1 do vibe coding e o mais fácil de explorar: basta um número diferente na requisição.
A trava de linha do Supabase não existe, ou "deixa todo mundo entrar". O banco vira API pública.
A service_role no front, ou commitada uma vez e viva no histórico para sempre.
O usuário edita role ou credits direto no request e vira admin.
Conteúdo hostil entra no contexto do LLM e vira leitura de segredo ou execução de comando.
Sem backup testado, sem rotação de chave, sem o gatilho de notificação à ANPD. O pânico vira prejuízo.
Um programa de segurança right-sized para quem builda sozinho.
Não é um checklist enterprise disfarçado. É uma metodologia servida pela sua IA via MCP, na ordem exata de uso, cada controle marcado como crítico-pra-você ou teatro-enterprise que você pula sem culpa.
Aditivo, nunca destrutivo
Cada controle soma proteção sem remover função. CSP em report-only, RLS policy-antes-de-ligar, rate-limit fail-open, testes destrutivos só em staging. Aplicar VibeGuard não derruba um SaaS que já funciona — essa é a regra suprema do método.
Por arquétipo
App Supabase, agente de IA, HTML cifrado offline, estático: cada um recebe só os controles que fazem sentido. Sem desperdício.
A sua IA executa, você aprova
Instrução, SQL de RLS e scripts curl chegam pela sua IA (Claude Code/Cursor). Prova binária: rodou, recebeu 403, fechou.
Um dia, 80% do risco
O MVP de Segurança entrega os controles essenciais que pegam a maior fatia do risco real em um dia. O resto do catálogo, no seu ritmo.
A trilha completa, na ordem de uso.
Fundação & gate
Mega-prompt master pra colar na IA, MVP de controles essenciais, gate GO/NO-GO pré-deploy e o guia de aplicar sem quebrar.
Segredos & ameaças
Política de gestão de segredos, inventário, rotação por provedor e threat model leve por STRIDE, por tipo de sistema.
Online, offline & IA
Frente web (RLS, CORS, headers, JWT), sistemas offline cifrados, Edge Functions/APIs e segurança de agentes LLM.
Ataque o próprio app
Bateria black-box de curl/bash: IDOR, bypass de RLS, escalada de privilégio, injeção. Prova real, não no papel.
CI & supply-chain
Pipeline de CI de segurança, secret scanning no commit e no histórico, e gestão contínua de dependências.
Detecção & resposta
Alertas prontos (do evento ao seu celular), playbook de resposta a incidente e continuidade/backup 3-2-1.
Compliance & risco
Inventário de ativos, classificação, matriz de risco 3×3 e o gatilho de notificação LGPD à ANPD.
Matriz dos 123 + revisor contínuo
As 123 lacunas cruzadas com as 12 lentes, matriz de risco e plano de evolução, mais o agente revisor que aponta furos a cada diff. Tudo servido pela sua IA via MCP, sempre atualizado, nunca baixado.
Três passos. Diagnóstico antes de tudo.
O MCP no seu editor
Você cola uma linha de config no Claude Code, Cursor ou Codex. A sua IA ganha acesso à metodologia gated, sempre atualizada, sem baixar nada.
Rode o diagnóstico grátis
A sua IA aponta o que falta e em que ordem corrigir, marcando o que pode quebrar. Nada é aplicado sem o seu "pode aplicar".
Um controle por vez, com gate
Você aplica fase por fase, testando o fluxo afetado, com o gate GO/NO-GO antes de cada deploy. Reversível, aditivo, sem surpresa.
Honesto sobre quem deve comprar.
É pra você se…
- › Você builda SaaS com IA (Lovable, Bolt, Cursor, v0) — Supabase, Firebase/Firestore ou Next + Postgres atrás.
- › Não tem background em segurança e não quer virar especialista.
- › Já tem algo no ar e tem medo de quebrar mexendo em segurança.
- › Roda agente de IA com acesso a ferramentas (shell, arquivos, web).
- › Quer um caminho pronto, em PT-BR, sem garimpar OWASP no escuro.
Não é pra você se…
- × Você tem um time de segurança e um SOC rodando.
- × Precisa de certificação ISO/SOC 2 formal com auditor.
- × Quer uma ferramenta que "resolve sozinha" sem você ler nada.
- × Procura pentest terceirizado, não um método pra aplicar você mesmo.
A prova está no rigor, não no hype.
Cada lacuna vem do cruzamento deduplicado de referências reconhecidas (OWASP, NIST, ISO, CIS, LGPD…), não da cabeça de ninguém. Padrão de mercado, recortado para o tamanho de um dev solo.
Cada controle termina numa checagem que passa ou não passa: rodou o curl, recebeu 403, fechou. "Configurei" não conta — o teste conta.
Defaults safe-by-default em todo controle: observa antes de bloquear, cria a policy antes de ligar o RLS, falha aberto no login. Você aplica sem rezar.
As 12 lentes que nada deixa escapar.
Segurança além do básico.
A profundidade vem do cruzamento de frameworks reconhecidos, não de contador de vaidade. Cada número abaixo a gente sustenta.
Os achados que passam batido quando você builda sozinho.
Exemplos reais do catálogo — o tipo de falha que o diagnóstico encontra e fecha antes do deploy num SaaS vibe-coded típico.
O INSERT do perfil aceita role:'admin' junto: o usuário se promove sozinho ao criar a conta. Mass assignment que a trava de UPDATE não pega.
Uma VIEW sobre tabela protegida roda sem security_invoker e ignora o RLS: o painel de um usuário lista o banco inteiro. IDOR em massa disfarçado de relatório.
Signup com confirmação de e-mail desligada deixa qualquer um registrar admin@suaempresa.com sem provar posse. Base pra forjar identidade e sequestrar fluxo.
Validação de tipo só no front é contornável: um HTML/SVG com script sobe direto e é servido inline de bucket público. Documento sensível também vaza por URL adivinhável.
Sem incremento atômico no teto, requisições simultâneas leem o contador abaixo do limite ao mesmo tempo e todas passam. Prejuízo direto por corrida.
A service_role ignora o RLS inteiro. Colada no cliente "pra funcionar", ela dá leitura total do banco a quem abrir o DevTools.
Comece grátis. Assine quando quiser o conserto.
O diagnóstico é grátis: o mapa e as prioridades do seu app. Os planos destravam os controles com critério de pronto, o checklist de review e os scripts de ataque, servidos pela sua IA. Sem plano mensal.
- ✓ Diagnóstico por seleção: o escopo do seu app
- ✓ Roadmap priorizado, fase a fase
- ✓ 1 controle completo (RLS) de brinde
- ✓ A sua IA dá a primeira passada no código
- ✓ Tudo do grátis, mais:
- ✓ Catálogo completo de controles + critério de pronto
- ✓ Checklist de review a cada diff
- ✓ Scripts de ataque GO/NO-GO
- ✓ Agente revisor contínuo
- ✓ Tudo do trimestral
- ✓ 6 meses de método e revisor atualizados
- ✓ Ideal pra quem já tem app no ar
- ✓ Tudo do trimestral
- ✓ O menor preço por mês
- ✓ Cobertura contínua o ano todo
A IA que analisa é a sua (Claude Code, Cursor) — você não paga inferência à parte, e o seu código nunca sai da sua máquina. Renova automaticamente ao fim do período; avisamos antes e você cancela em 1 clique, sem multa e sem fidelidade — o acesso vale até o fim do período já pago.
Perguntas frequentes
Aplicar isso vai quebrar meu app que já está no ar?
Preciso saber programar segurança pra usar?
Serve pro meu stack?
Em qual editor funciona?
Quanto tempo leva pra aplicar?
Não consigo pedir isso pro Claude/Cursor de graça?
Como recebo? Preciso baixar algo?
Quem paga a IA que analisa o código?
É assinatura? Como é o preço?
Tem garantia? E se eu cancelar?
O atacante já sabe onde estão os 123 buracos. Agora você também.
Rode o diagnóstico grátis e veja os seus. Feche antes que alguém encontre — sem quebrar o que você levou meses construindo.
▸ começar com diagnóstico grátis