Meu app foi feito com IA (Lovable, v0, Bolt, Cursor). O Vigil serve pra mim?

Serve, e muito. Estudos de 2026 mostram que 98% dos apps criados com IA têm pelo menos uma falha de segurança. A IA monta rápido, mas esquece tranca: chave secreta no código que todo visitante baixa, banco de dados sem trava de acesso, código-fonte original exposto. O Vigil procura exatamente esses erros, inclusive dentro dos arquivos que seu site entrega pro navegador.

Meu site é antigo, feito muito antes dessa onda de IA. Vale a pena examinar?

Vale. Os exames são os mesmos pra app de ontem e sistema de dez anos atrás: certificado, headers de proteção, arquivos sensíveis expostos, e-mail falsificável. Site antigo costuma acumular justamente esse tipo de pendência, porque ninguém olha há anos.

O exame grátis é. Sem cadastro, sem cartão: você cola a URL e recebe na hora a nota e o ponto mais grave. O laudo completo, o relatório em PDF e o monitoramento contínuo pedem conta e plano. O exame é passivo: a gente só olha o que o seu site já mostra pra qualquer visitante.

Vocês mexem no meu site?

Não. O Vigil só lê, nunca escreve. É um exame de fora, igual um raio-X: olha sem tocar. Nada no seu site é alterado.

Não. A gente faz reconhecimento passivo e não-destrutivo, do mesmo jeito que qualquer ferramenta séria de auditoria. Nada de invadir nem forçar.

Preciso de dev pra entender?

Não. O laudo vem em português de gente: o que é o problema, quanto ele te arrisca (em R$ e LGPD) e, se você quiser, o detalhe técnico escondido a um clique.

O exame e a nota são grátis. Pra ver o laudo completo, o plano de correção e o relatório em PDF de um site, o Exame Profundo é R$497, pagamento único por site. Pra deixar o Vigil vigiando 24/7 com alerta quando algo muda, o Vigil Pro é R$97 por mês (ou R$990 por ano) e cobre até 5 sites. O avulso vira crédito no seu primeiro Pro.

O que é o selo "Verificado por Vigil"?

É um selo que você libera provando ser dono do site (meta-tag ou DNS) e pode embutir pra mostrar que leva segurança a sério. Quem não prova a posse fica com "Escaneado por Vigil".

Os 16 exames de segurança que o Vigil faz, explicados em português

15 de junho de 20267 min de leituraEquipe Vigil

Quando alguém diz que faz 16 exames de segurança, soa a checklist de TI. Mas cada exame responde a uma pergunta bem concreta sobre o seu site, e todos se encaixam nas categorias do OWASP, a referência mundial de risco em aplicações web. Aqui está a tradução, sem jargão.

A02: a comunicação está protegida?

Certificado e TLS: o cadeado do navegador é válido, atual e bem configurado. Certificado vencido ou fraco deixa a conexão grampeável.
Conteúdo misto: a página segura (https) não pode carregar pedaços inseguros (http) por dentro. Mistura quebra a proteção do cadeado.
Chave vazada: senha de banco ou de API escrita no código que vai pro navegador. É a falha que mais aparece em app feito com IA.

A05: a configuração está caprichada?

Headers de proteção: instruções que o site manda pro navegador pra se defender. Faltando, sobra brecha.
Clickjacking: sem o header certo, dá pra embutir seu site invisível dentro de outro e enganar quem clica.
CORS: a regra de quem pode chamar a sua API de outro site. Aberta demais, qualquer um consome seus dados.
Cookies: precisam vir com as marcações de seguro e protegido, senão podem ser roubados ou lidos por terceiros.

A05 / A08: tem arquivo aberto que devia estar trancado?

Arquivos sensíveis (.env, .git): o .env guarda senhas; a pasta .git guarda todo o histórico do código. Expostos, entregam o reino.
Source map exposto: o mapa que reconstrói seu código original a partir do site. Ótimo pra depurar, péssimo se ficar público.
Banco aberto: o banco de dados sem trava de acesso, lendo e escrevendo pra quem chegar.

A07: dá pra fingir que é você?

SPF e DMARC: as travas que impedem alguém de mandar e-mail fingindo ser do seu domínio. Sem elas, golpista usa o seu nome.

E o A06?

A06 é sobre componentes desatualizados: biblioteca antiga e cheia de furo conhecido rodando no seu site. O exame sinaliza versões expostas que já têm falha pública documentada.

Cada um desses parece pequeno isolado. Juntos, são o mapa de portas do seu site. O raio-X confere todas de uma vez e te diz quais estão abertas. Cole o endereço e veja o seu mapa, de graça.

Tire o raio-X do seu site de graça

Cole o endereço e receba a nota e a lista do que arrumar em menos de um minuto. Anônimo, sem cadastro.

Examinar meu site