Seu SaaS feito com IA já nasce com 123 buracos. Feche todos.
A IA escreve código que funciona, não código que resiste a ataque. O VibeGuard é o MCP que arma a sua própria IA com o método pra achar e fechar as 123 lacunas que todo app vibe-coded carrega — com defaults que não derrubam o que já está no ar.
vibe-coded médio. mapeadas,
não estimadas.
Você protege a tela e esquece o banco.
Não são bugs exóticos. É o mesmo punhado de buracos, sempre nos mesmos lugares, porque o agente de código toma sempre os mesmos atalhos.
O usuário troca um ID na URL e lê o dado de outra pessoa. Problema nº 1 do vibe coding e o mais fácil de explorar: basta um número diferente na requisição.
A trava de linha do Supabase não existe, ou "deixa todo mundo entrar". O banco vira API pública.
A service_role no front, ou commitada uma vez e viva no histórico para sempre.
O usuário edita role ou credits direto no request e vira admin.
Conteúdo hostil entra no contexto do LLM e vira leitura de segredo ou execução de comando.
Sem backup testado, sem rotação de chave, sem o gatilho de notificação à ANPD. O pânico vira prejuízo.
Um programa de segurança right-sized para quem builda sozinho.
Não é um checklist enterprise disfarçado. É uma metodologia servida pela sua IA via MCP, na ordem exata de uso, cada controle marcado como crítico-pra-você ou teatro-enterprise que você pula sem culpa.
Aditivo, nunca destrutivo
Cada controle soma proteção sem remover função. CSP em report-only, RLS policy-antes-de-ligar, rate-limit fail-open, testes destrutivos só em staging. Aplicar VibeGuard não derruba um SaaS que já funciona — essa é a regra suprema do método.
Por arquétipo
App Supabase, agente de IA, HTML cifrado offline, estático: cada um recebe só os controles que fazem sentido. Sem desperdício.
A sua IA executa, você aprova
Instrução, SQL de RLS e scripts curl chegam pela sua IA (Claude Code/Cursor). Prova binária: rodou, recebeu 403, fechou.
Um dia, 80% do risco
O MVP de Segurança entrega os 14 controles que pegam a maior fatia do risco real em um dia. O resto, no seu ritmo.
A trilha completa, na ordem de uso.
Fundação & gate
Mega-prompt master pra colar na IA, MVP de 14 controles, gate GO/NO-GO pré-deploy e o guia de aplicar sem quebrar.
Segredos & ameaças
Política de gestão de segredos, inventário, rotação por provedor e threat model leve por STRIDE, por tipo de sistema.
Online, offline & IA
Frente web (RLS, CORS, headers, JWT), sistemas offline cifrados, Edge Functions/APIs e segurança de agentes LLM.
Ataque o próprio app
Bateria black-box de curl/bash: IDOR, bypass de RLS, escalada de privilégio, injeção. Prova real, não no papel.
CI & supply-chain
Pipeline de CI de segurança, secret scanning no commit e no histórico, e gestão contínua de dependências.
Detecção & resposta
Alertas prontos (do evento ao seu celular), playbook de resposta a incidente e continuidade/backup 3-2-1.
Compliance & risco
Inventário de ativos, classificação, matriz de risco 3×3 e o gatilho de notificação LGPD à ANPD.
Matriz dos 123 + revisor contínuo
As 123 lacunas cruzadas com as 12 lentes, matriz de risco e plano de evolução, mais o agente revisor que aponta furos a cada diff. Tudo servido pela sua IA via MCP, sempre atualizado, nunca baixado.
Três passos. Diagnóstico antes de tudo.
O MCP no seu editor
Você cola uma linha de config no Claude Code, Cursor ou Codex. A sua IA ganha acesso à metodologia gated, sempre atualizada, sem baixar nada.
Rode o diagnóstico grátis
A sua IA aponta o que falta e em que ordem corrigir, marcando o que pode quebrar. Nada é aplicado sem o seu "pode aplicar".
Um controle por vez, com gate
Você aplica fase por fase, testando o fluxo afetado, com o gate GO/NO-GO antes de cada deploy. Reversível, aditivo, sem surpresa.
Honesto sobre quem deve comprar.
É pra você se…
- › Você builda SaaS com IA (Lovable, Bolt, Cursor, v0) — Supabase, Firebase/Firestore ou Next + Postgres atrás.
- › Não tem background em segurança e não quer virar especialista.
- › Já tem algo no ar e tem medo de quebrar mexendo em segurança.
- › Roda agente de IA com acesso a ferramentas (shell, arquivos, web).
- › Quer um caminho pronto, em PT-BR, sem garimpar OWASP no escuro.
Não é pra você se…
- × Você tem um time de segurança e um SOC rodando.
- × Precisa de certificação ISO/SOC 2 formal com auditor.
- × Quer uma ferramenta que "resolve sozinha" sem você ler nada.
- × Procura pentest terceirizado, não um método pra aplicar você mesmo.
A prova está no rigor, não no hype.
Cada lacuna vem do cruzamento deduplicado de referências reconhecidas (OWASP, NIST, ISO, CIS, LGPD…), não da cabeça de ninguém. Padrão de mercado, recortado para o tamanho de um dev solo.
Cada controle termina numa checagem que passa ou não passa: rodou o curl, recebeu 403, fechou. "Configurei" não conta — o teste conta.
Defaults safe-by-default em todo controle: observa antes de bloquear, cria a policy antes de ligar o RLS, falha aberto no login. Você aplica sem rezar.
As 12 lentes que nada deixa escapar.
Segurança além do básico.
A profundidade vem do cruzamento de frameworks reconhecidos, não de contador de vaidade. Cada número abaixo a gente sustenta.
Os achados que passam batido quando você builda sozinho.
"Eu estava prestes a liberar meu SaaS para os primeiros clientes quando decidi rodar o VibeGuard pela última vez. Achei que encontraria apenas recomendações simples, mas a análise identificou uma rota administrativa que ainda estava acessível após os testes internos. Era o tipo de detalhe que passa despercebido quando você desenvolve tudo sozinho. Corrigi o problema antes do lançamento e fiquei muito mais tranquilo para apresentar o produto ao mercado."
"Meu foco sempre foi entregar funcionalidades rápido e validar a ideia com usuários reais. Segurança acabava ficando em segundo plano. O VibeGuard encontrou configurações incorretas de autenticação e alguns pontos onde usuários poderiam visualizar informações além do que deveriam. O que mais gostei foi não receber apenas alertas, mas também orientações claras sobre como corrigir cada problema. Economizei horas de pesquisa."
"Eu não tenho experiência profissional em cybersecurity, então sempre existia aquela dúvida: 'Será que estou esquecendo algo importante?'. Quando utilizei o VibeGuard, ele apontou falhas de configuração, headers de segurança ausentes e permissões que poderiam gerar problemas no futuro. A sensação foi parecida com ter um especialista revisando meu projeto antes de colocá-lo na frente dos clientes."
"Depois de meses desenvolvendo sozinho, eu acreditava que o produto estava pronto para produção. A análise do VibeGuard mostrou alguns riscos que eu jamais teria procurado por conta própria, incluindo exposição desnecessária de informações técnicas e práticas que poderiam facilitar abusos da aplicação. Nenhum deles parecia crítico isoladamente, mas juntos representavam um risco real. Corrigir tudo antes do lançamento me deu muito mais confiança para escalar o projeto."
"Quando você é solo-builder, acaba acumulando funções de produto, suporte, marketing e desenvolvimento. Segurança raramente recebe a atenção que merece. O VibeGuard me ajudou a enxergar pontos cegos que surgem naturalmente nesse cenário. Além de identificar vulnerabilidades, ele trouxe uma visão mais profissional sobre maturidade e boas práticas. Foi uma das revisões mais valiosas que fiz antes de abrir o acesso para novos usuários."
Comece grátis. Assine quando quiser o conserto.
O diagnóstico é grátis: o mapa e as prioridades do seu app. Os planos destravam os controles com critério de pronto, o checklist de review e os scripts de ataque, servidos pela sua IA. Sem plano mensal.
- ✓ Diagnóstico por seleção: o escopo do seu app
- ✓ Roadmap priorizado, fase a fase
- ✓ 1 controle completo (RLS) de brinde
- ✓ A sua IA dá a primeira passada no código
- ✓ Tudo do grátis, mais:
- ✓ Catálogo completo de controles + critério de pronto
- ✓ Checklist de review a cada diff
- ✓ Scripts de ataque GO/NO-GO
- ✓ Agente revisor contínuo
- ✓ Tudo do trimestral
- ✓ 6 meses de método e revisor atualizados
- ✓ Ideal pra quem já tem app no ar
- ✓ Tudo do trimestral
- ✓ O menor preço por mês
- ✓ Cobertura contínua o ano todo
A IA que analisa é a sua (Claude Code, Cursor) — você não paga inferência à parte, e o seu código nunca sai da sua máquina. Cancele quando quiser: o acesso vale até o fim do período já pago, sem renovação automática indesejada.
Perguntas frequentes
Aplicar isso vai quebrar meu app que já está no ar?
Preciso saber programar segurança pra usar?
Serve pro meu stack?
Em qual editor funciona?
Quanto tempo leva pra aplicar?
Não consigo pedir isso pro Claude/Cursor de graça?
Como recebo? Preciso baixar algo?
Quem paga a IA que analisa o código?
É assinatura? Como é o preço?
Tem garantia? E se eu cancelar?
O atacante já sabe onde estão os 123 buracos. Agora você também.
Rode o diagnóstico grátis e veja os seus. Feche antes que alguém encontre — sem quebrar o que você levou meses construindo.
▸ começar com diagnóstico grátis