Meu app foi feito com IA (Lovable, v0, Bolt, Cursor). O Vigil serve pra mim?

Serve, e muito. Estudos de 2026 mostram que 98% dos apps criados com IA têm pelo menos uma falha de segurança. A IA monta rápido, mas esquece tranca: chave secreta no código que todo visitante baixa, banco de dados sem trava de acesso, código-fonte original exposto. O Vigil procura exatamente esses erros, inclusive dentro dos arquivos que seu site entrega pro navegador.

Meu site é antigo, feito muito antes dessa onda de IA. Vale a pena examinar?

Vale. Os exames são os mesmos pra app de ontem e sistema de dez anos atrás: certificado, headers de proteção, arquivos sensíveis expostos, e-mail falsificável. Site antigo costuma acumular justamente esse tipo de pendência, porque ninguém olha há anos.

O exame grátis é. Sem cadastro, sem cartão: você cola a URL e recebe na hora a nota e o ponto mais grave. O laudo completo, o relatório em PDF e o monitoramento contínuo pedem conta e plano. O exame é passivo: a gente só olha o que o seu site já mostra pra qualquer visitante.

Vocês mexem no meu site?

Não. O Vigil só lê, nunca escreve. É um exame de fora, igual um raio-X: olha sem tocar. Nada no seu site é alterado.

Não. A gente faz reconhecimento passivo e não-destrutivo, do mesmo jeito que qualquer ferramenta séria de auditoria. Nada de invadir nem forçar.

Preciso de dev pra entender?

Não. O laudo vem em português de gente: o que é o problema, quanto ele te arrisca (em R$ e LGPD) e, se você quiser, o detalhe técnico escondido a um clique.

O exame e a nota são grátis. Pra ver o laudo completo, o plano de correção e o relatório em PDF de um site, o Exame Profundo é R$497, pagamento único por site. Pra deixar o Vigil vigiando 24/7 com alerta quando algo muda, o Vigil Pro é R$97 por mês (ou R$990 por ano) e cobre até 5 sites. O avulso vira crédito no seu primeiro Pro.

O que é o selo "Verificado por Vigil"?

É um selo que você libera provando ser dono do site (meta-tag ou DNS) e pode embutir pra mostrar que leva segurança a sério. Quem não prova a posse fica com "Escaneado por Vigil".

Alguem pode mandar e-mail fingindo ser a sua empresa: o que SPF, DKIM e DMARC fazem (e por que ter o registro nao basta)

18 de junho de 20265 min de leituraEquipe Vigil

Imagine um cliente abrindo um e-mail. No campo do remetente está o nome da sua empresa, certinho, com o seu domínio. Dentro, um pedido de pagamento de boleto, uma troca de chave Pix, uma fatura em atraso. O cliente confia, porque parece você. Só que não foi você quem mandou.

Esse golpe tem nome técnico, mas a ideia é simples: a forma como o e-mail funciona, por padrão, deixa qualquer pessoa escrever o seu endereço no campo do remetente. Como colocar o nome de outra pessoa no envelope de uma carta. Quem recebe não sabe a diferença. A boa notícia é que existem três travas que barram isso, e dá pra entender cada uma sem ser técnico.

As três travas: SPF, DKIM e DMARC

Pense no seu domínio (o que vem depois do arroba) como um prédio. As três travas dizem quem pode mandar carta em nome desse prédio e o que fazer com a carta suspeita.

SPF: a lista de quem pode enviar

O SPF é uma lista pública dos servidores autorizados a mandar e-mail pelo seu domínio. É como entregar à portaria a relação de quem tem permissão de despachar carta em nome do prédio. Quando uma mensagem chega, o servidor de quem recebe confere: esse remetente está na lista? O SPF é definido na regra técnica RFC 7208.

DKIM: a assinatura que prova que ninguém mexeu

O DKIM coloca uma assinatura digital invisível em cada mensagem. Quem recebe consegue verificar duas coisas: que a carta saiu mesmo do seu prédio e que ninguém abriu e trocou o conteúdo no caminho. É um lacre.

DMARC: a ordem do que fazer com a carta falsa

O DMARC junta os dois anteriores e responde à pergunta que importa: quando chega uma carta que falha nas conferências, o que o servidor faz? Joga fora, manda pro spam ou entrega assim mesmo? O DMARC está descrito na regra técnica RFC 7489 e é coordenado pelo grupo do dmarc.org.

Ter o registro não basta

Aqui mora o problema que pega quase todo mundo. Você pode ter as três travas instaladas e mesmo assim deixar a porta escancarada, porque o que vale é o ajuste de cada uma, não a simples presença.

Dois ajustes traem o dono do negócio com mais frequência:

DMARC em "p=none": esse ajuste só observa. Ele anota quem está mandando e-mail em seu nome e gera relatório, mas não manda jogar nada fora. A carta falsa continua chegando na caixa do seu cliente. É câmera de segurança gravando o assalto sem ninguém trancar a porta.
SPF com "+all" (ou só "all"): esse ajuste diz à portaria que qualquer servidor do mundo está autorizado a mandar e-mail pelo seu domínio. Em vez de uma lista de permitidos, é um "pode todo mundo". O mecanismo até existe, mas anula a proteção.

Nos dois casos o teste superficial passa. Alguém pergunta "tem SPF? tem DMARC?" e a resposta é sim. A trava está lá. Só que destravada.

Como isso vira golpe contra o seu cliente

Com a porta aberta, um golpista escreve o seu domínio no remetente e dispara mensagens pra sua lista de clientes, fornecedores e até pra dentro da sua própria equipe. Como a mensagem parece sua, a pessoa abre, clica e às vezes paga. O prejuízo cai no colo de quem confiou na sua marca, e a fatura de reputação chega pra você.

O e-mail falso fingindo ser uma empresa conhecida é uma das portas de entrada mais usadas em golpes corporativos. Os relatórios anuais da Verizon, o Data Breach Investigations Report, mostram ano após ano o phishing entre as principais causas de invasões. Quando o golpista consegue usar o seu próprio domínio, a mensagem fica ainda mais convincente.

O atacante não invade nada. Ele só usa a porta que você deixou destrancada.

O que dá pra fazer

O caminho é sair do "tem o registro" pro "o registro está ajustado pra barrar". Na prática:

Tirar o SPF do modo permissivo, deixando só os servidores que você de fato usa.
Manter a assinatura DKIM ativa nas suas ferramentas de envio.
Evoluir o DMARC do modo que só observa pro modo que manda jogar a carta falsa fora, com calma, acompanhando os relatórios pra não barrar e-mail legítimo no susto.

Quem cuida da sua hospedagem ou do seu provedor de e-mail consegue fazer esses ajustes. O seu papel é saber que precisa ser feito e cobrar.

Um raio-X antes do golpe

Foi por isso que o Vigil passou a olhar a política de e-mail, não só a presença dela. Em vez de marcar "tem SPF, tem DMARC" e seguir em frente, ele lê o ajuste de cada trava e avisa quando o DMARC só observa ou quando o SPF deixa qualquer um enviar. Vale rodar um raio-X de segurança no seu domínio e descobrir se a porta está trancada antes que alguém teste a maçaneta no lugar do seu cliente.

Tire o raio-X do seu site de graça

Cole o endereço e receba a nota e a lista do que arrumar em menos de um minuto. Anônimo, sem cadastro.

Examinar meu site