Statische Analyse fuer KI-generierten Code
Ein speziell entwickelter Sicherheitsscanner, der Schwachstellen erkennt, die von KI-Codierassistenten eingefuehrt werden. 59 Regeln fuer Vibe-Code-Muster, Agentensicherheit und LLM-Anwendungsrisiken -- basierend auf tree-sitter AST-Analyse und optionaler KI-gestuetzter Triage.
59 Sicherheitsregeln
6 Sprachen
3 Regelkategorien
SARIF-Ausgabe
Das Problem
Warum KI-generierter Code ein Sicherheitsrisiko darstellt
KI-Assistenten generieren Code schneller, als Menschen ihn ueberpruefen koennen. Vibe Coding -- KI-Vorschlaege mit minimaler Pruefung akzeptieren -- ist der neue Standard.
KI optimiert fuer funktionierenden Code, nicht fuer sicheren Code. Dasselbe hartcodierte Geheimnis, dieselbe SQL-Verkettung, dasselbe permissive CORS -- wiederholt ueber Tausende von Projekten.
Semgrep, Snyk und CodeQL verstehen keine Prompt-Vorlagen, Agenten-Tool-Definitionen oder LLM-Ausgabeverarbeitung. Neue Angriffsflaechen haben keinerlei Abdeckung.
Autonome Agenten treffen reale Entscheidungen mit Dateisystemzugriff, Datenbankschreibvorgaengen und Shell-Befehlen. Kein bestehendes Tool prueft ihre Berechtigungsgrenzen.
Regeln
59 Regeln fuer drei KI-spezifische Schwachstellenbereiche
20 Regeln fuer Muster, die haeufig von KI-Codierassistenten generiert werden: hartcodierte Geheimnisse in Prompts, SQL-Injection durch Verkettung, gefaehrliche Code-Ausfuehrung, unsichere Standardeinstellungen und fehlende Authentifizierung.
15 Regeln fuer autonomen Agentencode: zu permissive Tool-Definitionen, uneingeschraenkter Dateisystemzugriff, Shell-Befehlsausfuehrung aus Benutzereingaben, fehlende Audit-Protokollierung und keine Bestaetigung vor destruktiven Aktionen.
24 Regeln fuer produktive LLM-Anwendungen: rohe Benutzereingaben in System-Prompts, unbereinigtes HTML-Rendering, Ausfuehrung von LLM-generiertem SQL, exponierte API-Schluessel, fehlende Prompt-Injection-Erkennung, unsichere OAuth-Flows, veraltete SDK-Nutzung und nicht validierte Tool-Ausgaben.
Integrieren Sie Mistral AI oder lokale Ollama-Modelle, um Fehlalarme zu reduzieren, den Schweregrad kontextbasiert neu zu bewerten und kontextbezogene Korrekturvorschlaege zu generieren. Aktivieren Sie es mit einem einzigen --ai Flag -- funktioniert mit jedem unterstuetzten Modell.
Echtzeit-Sicherheitsfeedback in Ihrem Editor ueber den VibeGuard LSP-Server. Inline-Diagnosen, Code-Aktionen und Korrekturvorschlaege waehrend Sie tippen -- kompatibel mit VS Code, Neovim und jedem LSP-kompatiblen Editor.
Schreiben Sie benutzerdefinierte Regeln in YAML -- keine Rust-Kenntnisse erforderlich. Definieren Sie AST-Knotentypen, Regex-Muster, Vorfahren-Kontexteinschraenkungen und Korrekturvorschlaege. Erstellen Sie neue Regeln mit einem einzigen Befehl.
Native SARIF v2.1.0-Ausgabe fuer die Integration mit dem GitHub-Sicherheits-Tab. Ergebnisse erscheinen als Inline-PR-Annotationen mit Schweregrad, Korrekturvorschlaegen und Referenzen. Unterstuetzt auch JSON- und Textausgabe.
Sofort einsetzbare GitHub Action fuer automatisierte Analyse bei jedem Push und Pull Request. Unterstuetzt auch GitLab CI, Bitbucket Pipelines und Pre-Commit-Hooks. Einzelne Binaerdatei -- keine Laufzeitabhaengigkeiten.
Leistungsmerkmale
Was VibeGuard bietet
59
Integrierte Sicherheitsregeln
6
Unterstuetzte Sprachen
3
KI-spezifische Kategorien
1
Einzelne Binaerdatei -- ohne Abhaengigkeiten
5
Plattformuebergreifende Builds
3
Ausgabeformate
Technologien
Rust Workspace (5 Crates), tree-sitter, serde, regex, YAML-Regel-Engine, .vibeguard.yaml-Konfiguration
tree-sitter-javascript, tree-sitter-typescript, tree-sitter-python, tree-sitter-go, tree-sitter-java, tree-sitter-rust
Mistral AI SDK, Ollama-Client, konfigurierbare Modellauswahl, Fehlalarm-Filterung, Schweregrad-Neubewertung
clap, colored, serde_json, SARIF v2.1.0-Ausgabe, Language Server Protocol
GitHub Actions (CI + Cross-Compile-Release), GitLab CI, Bitbucket Pipelines, Pre-Commit-Hooks
Linux (amd64/arm64), macOS (amd64/arm64), Windows (amd64), crates.io
Preise
Kontaktieren Sie unser Team, um zu erfahren, wie VibeGuard Ihren KI-generierten Code im grossen Massstab absichern kann.
Benötigen Sie Hilfe bei der Absicherung von KI-generiertem Code in der Produktion? Unsere Beratung ergänzt VibeGuard.
70% der KI-Piloten erreichen nie die Produktion. Holen Sie sich das Playbook für die 30%, die es schaffen.
Jederzeit abbestellbar. Kein Spam, niemals.