Analyse statique pour le code genere par l'IA
Un scanner de securite specialement concu pour detecter les vulnerabilites introduites par les assistants de codage IA. 59 regles couvrant les schemas de vibe code, la securite des agents et les risques lies aux applications LLM -- propulse par l'analyse AST tree-sitter et le triage assiste par IA.
59 regles de securite
6 langages
3 categories de regles
Sortie SARIF
Le probleme
Pourquoi le code genere par l'IA est un risque de securite
Les assistants IA generent du code plus rapidement que les humains ne peuvent le relire. Le vibe coding -- accepter les suggestions de l'IA avec un examen minimal -- est devenu la norme.
L'IA optimise pour du code fonctionnel, pas pour du code securise. Le meme secret en dur, la meme concatenation SQL, le meme CORS permissif -- repetes dans des milliers de projets.
Semgrep, Snyk et CodeQL ne comprennent pas les modeles de prompts, les definitions d'outils d'agents ni la gestion des sorties LLM. Les nouvelles surfaces d'attaque n'ont aucune couverture.
Les agents autonomes prennent des decisions reelles avec un acces au systeme de fichiers, des ecritures en base de donnees et des commandes shell. Aucun outil existant n'audite leurs limites de permissions.
Regles
59 regles ciblant trois domaines de vulnerabilites specifiques a l'IA
20 regles pour les schemas couramment generes par les assistants de codage IA : secrets en dur dans les prompts, injection SQL par concatenation, execution de code dangereuse, parametres par defaut non securises et authentification manquante.
15 regles pour le code des agents autonomes : definitions d'outils trop permissives, acces illimite au systeme de fichiers, execution de commandes shell a partir d'entrees utilisateur, journalisation d'audit manquante et absence de confirmation avant les actions destructrices.
24 regles pour les applications LLM en production : entrees utilisateur brutes dans les prompts systeme, rendu HTML non assaini, execution de SQL genere par le LLM, cles d'API exposees, detection d'injection de prompts manquante, flux OAuth non securises, utilisation de SDK obsoletes et sorties d'outils non validees.
Integrez Mistral AI ou des modeles Ollama locaux pour reduire les faux positifs, reajuster la severite en fonction du contexte et generer des suggestions de correction contextuelles. Activez avec un simple flag --ai -- fonctionne avec tout modele pris en charge.
Retours de securite en temps reel dans votre editeur via le serveur LSP VibeGuard. Diagnostics en ligne, actions de code et suggestions de correction pendant que vous tapez -- compatible avec VS Code, Neovim et tout editeur compatible LSP.
Ecrivez des regles personnalisees en YAML -- aucune connaissance de Rust requise. Definissez des types de noeuds AST, des schemas regex, des contraintes de contexte ancetre et des suggestions de correction. Generez de nouvelles regles avec une seule commande.
Sortie native SARIF v2.1.0 pour l'integration avec l'onglet Securite de GitHub. Les resultats apparaissent sous forme d'annotations en ligne sur les PR avec severite, suggestions de correction et references. Prend aussi en charge les formats JSON et texte.
GitHub Action integrable pour une analyse automatisee a chaque push et pull request. Compatible aussi avec GitLab CI, Bitbucket Pipelines et les hooks de pre-commit. Binaire unique -- aucune dependance d'execution.
Capacites
Ce que VibeGuard offre
59
Regles de securite integrees
6
Langages pris en charge
3
Categories specifiques a l'IA
1
Binaire unique -- sans dependances
5
Compilations multiplateformes
3
Formats de sortie
Technologies
Espace de travail Rust (5 crates), tree-sitter, serde, regex, moteur de regles YAML, configuration .vibeguard.yaml
tree-sitter-javascript, tree-sitter-typescript, tree-sitter-python, tree-sitter-go, tree-sitter-java, tree-sitter-rust
Mistral AI SDK, client Ollama, selection de modele configurable, filtrage des faux positifs, reajustement de severite
clap, colored, serde_json, sortie SARIF v2.1.0, Language Server Protocol
GitHub Actions (CI + compilation croisee), GitLab CI, Bitbucket Pipelines, hooks de pre-commit
Linux (amd64/arm64), macOS (amd64/arm64), Windows (amd64), crates.io
Tarification
Contactez notre equipe pour decouvrir comment VibeGuard peut securiser votre code genere par l'IA a grande echelle.
Besoin d'aide pour sécuriser du code généré par IA en production ? Nos services de conseil complètent VibeGuard.
70% des pilotes IA n'atteignent jamais la production. Recevez le guide de ceux qui y arrivent.
Désabonnez-vous à tout moment. Pas de spam, jamais.