Meu app foi feito com IA (Lovable, v0, Bolt, Cursor). O Vigil serve pra mim?

Serve, e muito. Estudos de 2026 mostram que 98% dos apps criados com IA têm pelo menos uma falha de segurança. A IA monta rápido, mas esquece tranca: chave secreta no código que todo visitante baixa, banco de dados sem trava de acesso, código-fonte original exposto. O Vigil procura exatamente esses erros, inclusive dentro dos arquivos que seu site entrega pro navegador.

Meu site é antigo, feito muito antes dessa onda de IA. Vale a pena examinar?

Vale. Os exames são os mesmos pra app de ontem e sistema de dez anos atrás: certificado, headers de proteção, arquivos sensíveis expostos, e-mail falsificável. Site antigo costuma acumular justamente esse tipo de pendência, porque ninguém olha há anos.

O exame grátis é. Sem cadastro, sem cartão: você cola a URL e recebe na hora a nota e o ponto mais grave. O laudo completo, o relatório em PDF e o monitoramento contínuo pedem conta e plano. O exame é passivo: a gente só olha o que o seu site já mostra pra qualquer visitante.

Vocês mexem no meu site?

Não. O Vigil só lê, nunca escreve. É um exame de fora, igual um raio-X: olha sem tocar. Nada no seu site é alterado.

Não. A gente faz reconhecimento passivo e não-destrutivo, do mesmo jeito que qualquer ferramenta séria de auditoria. Nada de invadir nem forçar.

Preciso de dev pra entender?

Não. O laudo vem em português de gente: o que é o problema, quanto ele te arrisca (em R$ e LGPD) e, se você quiser, o detalhe técnico escondido a um clique.

O exame e a nota são grátis. Pra ver o laudo completo, o plano de correção e o relatório em PDF de um site, o Exame Profundo é R$497, pagamento único por site. Pra deixar o Vigil vigiando 24/7 com alerta quando algo muda, o Vigil Pro é R$97 por mês (ou R$990 por ano) e cobre até 5 sites. O avulso vira crédito no seu primeiro Pro.

O que é o selo "Verificado por Vigil"?

É um selo que você libera provando ser dono do site (meta-tag ou DNS) e pode embutir pra mostrar que leva segurança a sério. Quem não prova a posse fica com "Escaneado por Vigil".

Chave de API vazada no código: o erro número 1 dos apps feitos com IA

14 de junho de 20265 min de leituraEquipe Vigil

De todos os erros que um app feito com IA pode ter, esse é o mais comum e um dos mais perigosos: a chave de API vazada no código. Parece detalhe técnico, mas dá pra entender em dois minutos, e depois você nunca mais esquece de conferir.

O tamanho do problema

Pesquisadores da Escape, em 2026, vasculharam o código público de 5.600 aplicativos criados com IA e encontraram mais de 400 segredos expostos. Segredo aqui é senha, token, chave de acesso: a credencial que deveria ser secreta e estava à mostra pra qualquer um ler.

O que é uma chave de API, sem enrolação

Pense numa chave de API como a senha que o seu site usa pra conversar com outro serviço: o sistema de pagamento, o de envio de e-mail, o banco de dados. Com essa chave, o site faz coisas em seu nome. Quem tiver a chave faz as mesmas coisas, em seu nome também.

A chave é a senha que o seu site usa pra agir. Vazou a chave, vazou a permissão de agir como você.

Por que ela vaza

O problema é onde a chave fica guardada. O jeito certo é deixá-la só no servidor, longe dos olhos. O que a IA costuma fazer é escrever a chave direto no código do site, e esse código vai inteiro pro navegador de cada visitante.

Ou seja: o arquivo que faz o seu site funcionar, baixado por qualquer pessoa que abre a página, carrega a senha junto. Não precisa invadir nada. Basta abrir as ferramentas do navegador e procurar. É por isso que o erro é tão comum: ele acontece sozinho, sem ninguém perceber.

Como saber se o seu site tem

A chave aparece no código que o navegador baixa, não fica só no servidor.
Costuma ter formato reconhecível: textos longos começando por sk_, pk_, AIza, e por aí vai.
Um exame de fora encontra isso lendo o que o seu site já entrega, sem precisar de acesso nenhum.

Se você achar uma chave exposta, a correção é dupla: tirar a chave do código e gerar uma nova (a antiga, já vista, deve ser considerada queimada). O raio-X do Vigil procura exatamente esse tipo de segredo no seu site. Cole o endereço e descubra em menos de um minuto, de graça.

Tire o raio-X do seu site de graça

Cole o endereço e receba a nota e a lista do que arrumar em menos de um minuto. Anônimo, sem cadastro.

Examinar meu site