< 1 min
do clique ao laudo
Exame completo enquanto você termina o café.
diagnóstico em menos de um minuto · beta privadoTira o raio-X
Tira o raio-X
de segurança
do seu site.
Feito com IA ontem ou herdado de 2012: a gente examina, te dá a nota e explica em português que você entende o que arrumar. Sem dev, sem jargão, sem reunião.
+ 1.482 sites já examinados · anônimo · sem cadastro
laudo · meusite.com.brao vivo
A+98/100
blindado
blindado
TLS / certificadook
headers de proteçãook
vazamento de chaveok
clickjacking1 ponto de atenção
Selo Verificado por Vigil liberado
3 camadas
humano · R$ · técnico
Cada achado traduzido: o que é, quanto te arrisca e o detalhe técnico, se você quiser.
0
cadastro · jargão · reunião
Cola a URL e pronto. Sem dev, sem comercial, sem dólar surpresa.
◷ como funciona
Um exame em 3 passos.
00
Cola a URL
Sem cadastro, sem cartão. Só o endereço do seu site no campo.
01
A gente varre
A gente olha de fora, sem tocar em nada: TLS, headers, DNS, bancos expostos, segredos vazados no código e os 16 exames OWASP. Em menos de um minuto.
02
Recebe o laudo
A nota e cada achado traduzidos pra português: o que é, quanto te arrisca, e o detalhe técnico se você quiser.
◷ a era do código feito por IA
Criou seu app com IA?
Examina antes que alguém examine por você.
A IA monta seu produto em horas, mas esquece tranca: chave secreta no código que todo visitante baixa, banco de dados aberto, código-fonte original exposto. E a mesma IA que constrói também já acha falha mais rápido que humano. No Project Glasswing, da Anthropic, parceiros encontraram mais de 10 mil vulnerabilidades graves em um mês. A pergunta não é se vão olhar pro seu site. É quem olha primeiro.
98%
dos apps feitos com IA
tinham pelo menos uma falha de segurança, num estudo com 1.072 apps de Lovable, v0, Bolt e afins.
SymbioticSec, 2026
29%
com falha crítica ou alta
Quase 1 em cada 3. Banco sem trava de acesso, dado de cliente legível por qualquer um.
SymbioticSec, 2026
400+
segredos expostos
chaves e senhas de serviço achadas no código público de 5.600 apps criados com IA.
Escape, 2026
E se o seu site é antigo, de muito antes dessa onda, o exame vale igual: os mesmos buracos aparecem em sistema de 2010 e em app de ontem. O Vigil examina os dois, de graça, em menos de um minuto, e fica do seu lado até cada item virar verde.
◷ a tradução em 3 camadas
O mesmo achado, em 3 níveis.
Achar a falha virou fácil. O que importa é entender. Cada achado vem traduzido: o que é em gente, quanto te custa em R$ e LGPD, e o detalhe técnico só se você pedir.
Seu site pode ser usado numa armadilha invisívelgrave
01 · humano
Um golpista consegue colocar a sua tela de login dentro de um site falso, invisível, e roubar cliques e senhas de quem acha que tá no seu site de verdade.
02 · risco (R$ / LGPD)
Conta invadida vira vazamento de dados de cliente. E vazamento sob LGPD é multa da ANPD mais o estrago na reputação.
03 · técnico
CWE-1021. Falta X-Frame-Options / CSP frame-ancestors. Correção: definir frame-ancestors 'self' no header.
◷ o que a gente examina
16 exames, ancorados no OWASP.
O padrão que o mercado de segurança usa pra classificar risco. Cada exame mapeado pra sua categoria.
A02Falhas criptográficas
- certificado / TLS
- conteúdo misto (http em página https)
- chave secreta de API vazada no código do site
A05Configuração insegura
- headers de proteção
- compartilhamento entre sites (CORS)
- cookies seguros
- arquivos sensíveis expostos
- vazamento de informação
- código-fonte original exposto (source map)
A06Componentes desatualizados
- versão do framework (Next.js self-hosted)
A07Falhas de autenticação
- banco de dados aberto (Supabase)
- versão do login (GoTrue / CVE)
- token de login guardado no lugar errado
A08Integridade de dados
- scripts de terceiro sem trava (SRI)
E-mailAnti-phishing
- proteção de e-mail (SPF / DMARC)
DivulgaçãoProntidão de segurança
- canal de aviso (security.txt)
◷ confiança que se prova
Um selo que ninguém forja.
Qualquer um pode escanear um site. Mas só quem prova ser dono (com uma meta-tag ou DNS) libera o selo "Verificado por Vigil"e pode embutir no site pra mostrar que leva segurança a sério. Sem prova de posse, fica só "Escaneado".
feito pela Eureka Labs · segurança pra leigos
verificado por
Vigil
escaneado por
Vigil
◷ perguntas frequentes
Dúvidas honestas.
Meu app foi feito com IA (Lovable, v0, Bolt, Cursor). O Vigil serve pra mim?+
Serve, e muito. Estudos de 2026 mostram que 98% dos apps criados com IA têm pelo menos uma falha de segurança. A IA monta rápido, mas esquece tranca: chave secreta no código que todo visitante baixa, banco de dados sem trava de acesso, código-fonte original exposto. O Vigil procura exatamente esses erros, inclusive dentro dos arquivos que seu site entrega pro navegador.
Meu site é antigo, feito muito antes dessa onda de IA. Vale a pena examinar?+
Vale. Os exames são os mesmos pra app de ontem e sistema de dez anos atrás: certificado, headers de proteção, arquivos sensíveis expostos, e-mail falsificável. Site antigo costuma acumular justamente esse tipo de pendência, porque ninguém olha há anos.
É anônimo mesmo?+
O exame grátis é. Sem cadastro, sem cartão: você cola a URL e recebe na hora a nota e o ponto mais grave. O laudo completo, o relatório em PDF e o monitoramento contínuo pedem conta e plano. O exame é passivo: a gente só olha o que o seu site já mostra pra qualquer visitante.
Vocês mexem no meu site?+
Não. O Vigil só lê, nunca escreve. É um exame de fora, igual um raio-X: olha sem tocar. Nada no seu site é alterado.
Isso é hacking?+
Não. A gente faz reconhecimento passivo e não-destrutivo, do mesmo jeito que qualquer ferramenta séria de auditoria. Nada de invadir nem forçar.
Preciso de dev pra entender?+
Não. O laudo vem em português de gente: o que é o problema, quanto ele te arrisca (em R$ e LGPD) e, se você quiser, o detalhe técnico escondido a um clique.
Quanto custa?+
O exame e a nota são grátis. Pra ver o laudo completo, o plano de correção e o relatório em PDF de um site, o Exame Profundo é R$497, pagamento único por site. Pra deixar o Vigil vigiando 24/7 com alerta quando algo muda, o Vigil Pro é R$97 por mês (ou R$990 por ano) e cobre até 5 sites. O avulso vira crédito no seu primeiro Pro.
O que é o selo "Verificado por Vigil"?+
É um selo que você libera provando ser dono do site (meta-tag ou DNS) e pode embutir pra mostrar que leva segurança a sério. Quem não prova a posse fica com "Escaneado por Vigil".
Quer o Pro quando sair?
Exame profundo, monitoramento contínuo e alerta quando algo mudar. Entra na lista que a gente te chama primeiro.
Sem spam. Só o aviso de lançamento. Você sai quando quiser.