Meu app foi feito com IA (Lovable, v0, Bolt, Cursor). O Vigil serve pra mim?

Serve, e muito. Estudos de 2026 mostram que 98% dos apps criados com IA têm pelo menos uma falha de segurança. A IA monta rápido, mas esquece tranca: chave secreta no código que todo visitante baixa, banco de dados sem trava de acesso, código-fonte original exposto. O Vigil procura exatamente esses erros, inclusive dentro dos arquivos que seu site entrega pro navegador.

Meu site é antigo, feito muito antes dessa onda de IA. Vale a pena examinar?

Vale. Os exames são os mesmos pra app de ontem e sistema de dez anos atrás: certificado, headers de proteção, arquivos sensíveis expostos, e-mail falsificável. Site antigo costuma acumular justamente esse tipo de pendência, porque ninguém olha há anos.

O exame grátis é. Sem cadastro, sem cartão: você cola a URL e recebe na hora a nota e o ponto mais grave. O laudo completo, o relatório em PDF e o monitoramento contínuo pedem conta e plano. O exame é passivo: a gente só olha o que o seu site já mostra pra qualquer visitante.

Vocês mexem no meu site?

Não. O Vigil só lê, nunca escreve. É um exame de fora, igual um raio-X: olha sem tocar. Nada no seu site é alterado.

Não. A gente faz reconhecimento passivo e não-destrutivo, do mesmo jeito que qualquer ferramenta séria de auditoria. Nada de invadir nem forçar.

Preciso de dev pra entender?

Não. O laudo vem em português de gente: o que é o problema, quanto ele te arrisca (em R$ e LGPD) e, se você quiser, o detalhe técnico escondido a um clique.

O exame e a nota são grátis. Pra ver o laudo completo, o plano de correção e o relatório em PDF de um site, o Exame Profundo é R$497, pagamento único por site. Pra deixar o Vigil vigiando 24/7 com alerta quando algo muda, o Vigil Pro é R$97 por mês (ou R$990 por ano) e cobre até 5 sites. O avulso vira crédito no seu primeiro Pro.

O que é o selo "Verificado por Vigil"?

É um selo que você libera provando ser dono do site (meta-tag ou DNS) e pode embutir pra mostrar que leva segurança a sério. Quem não prova a posse fica com "Escaneado por Vigil".

A biblioteca JavaScript antiga do seu site pode ser uma porta conhecida e aberta

18 de junho de 20265 min de leituraEquipe Vigil

Seu site funciona bem, vende, recebe cliente todo dia. Por baixo dele, porém, costuma rodar um punhado de peças de código que alguém instalou anos atrás e ninguém mais tocou. Uma dessas peças pode ser uma versão antiga do jQuery ou do Bootstrap, dois programas muito comuns em sites brasileiros. Elas continuam fazendo o trabalho de sempre. O problema é que, com o tempo, ganharam falhas que hoje já são públicas e conhecidas por quem procura.

Essa é exatamente a categoria que a OWASP, uma organização internacional sem fins lucrativos que estuda segurança de aplicações na internet, colocou na sua lista dos dez riscos mais comuns. Na versão de 2021 dessa lista, o item recebeu o código A06 e o nome de Componentes Vulneráveis e Desatualizados. Vamos destrinchar isso em português de gente.

O que é uma biblioteca, sem juridiquês

Biblioteca, no mundo da programação, é uma caixa de ferramentas pronta. Em vez de o programador escrever do zero como fazer um menu abrir, uma janela aparecer ou um formulário validar o que você digitou, ele usa código que outras pessoas já escreveram e testaram. O jQuery faz esse tipo de tarefa há muitos anos. O Bootstrap cuida de deixar o site bonito e ajustado para celular e computador. Quase todo site usa algumas dessas caixas de ferramentas.

Você instala a caixa uma vez e ela passa a fazer parte do seu site. Aqui mora o detalhe que pouca gente percebe: a caixa não se atualiza sozinha. A versão que entrou em 2018 continua sendo a de 2018, mesmo em 2026.

Por que versão velha vira porta aberta

Quem mantém essas ferramentas conserta falhas com o tempo. Quando uma falha é corrigida, ela também passa a ser documentada em público, com um número de identificação que qualquer pessoa consulta. Esse cadastro existe para ajudar quem defende. Só que ele também serve de mapa para quem ataca.

Um exemplo real. O jQuery teve uma falha catalogada publicamente como CVE-2020-11022, em 2020. Ela permitia que um código malicioso fosse executado no navegador do visitante. Atingia versões do jQuery a partir da 1.2 e foi corrigida na versão 3.5.0. Quem ainda roda uma versão anterior a essa carrega a falha junto. O atacante não precisa descobrir nada novo. A receita do problema já está escrita e disponível.

Rodar uma versão antiga é deixar afixada na porta uma receita pronta de como entrar.

A boa notícia: atualizar resolve

Diferente de muitos problemas de segurança, esse tem solução direta. Atualizar a biblioteca para uma versão mais nova, que já recebeu a correção, fecha a porta. Não é cirurgia. Na maioria dos casos, é trocar um arquivo por outro mais recente e conferir se o site continua funcionando como antes.

O que costuma faltar não é a correção. É saber que o problema existe. Ninguém vai atualizar uma peça que esqueceu que estava ali.

Onde o Vigil entra

O Vigil agora identifica as bibliotecas que o seu site carrega e aponta quais delas estão em versões com falha já conhecida, junto do número que cataloga cada uma. Em vez de você adivinhar o que roda por baixo do site, fica claro o que pedir para o seu desenvolvedor atualizar. Rodar esse raio-X de segurança de tempos em tempos transforma uma porta esquecida em uma pendência simples de resolver.

Tire o raio-X do seu site de graça

Cole o endereço e receba a nota e a lista do que arrumar em menos de um minuto. Anônimo, sem cadastro.

Examinar meu site