Aviso e limitações

O FixVibe executa verificações automatizadas em URLs e hostnames que você envia. As verificações são heurísticas: buscam padrões comumente associados a configurações incorretas e vulnerabilidades de segurança. Correspondência de padrões é fundamentalmente imprecisa. Podemos — e às vezes produzimos — falsos positivos e falsos negativos.

O FixVibe não é:

• um substituto para um teste de penetração humano ou a revisão de um engenheiro de segurança qualificado;
• uma garantia de que sua aplicação é segura caso nenhum resultado apareça;
• uma garantia de que algum resultado é explorável no seu ambiente;
• assessoria profissional ou jurídica de qualquer natureza;
• uma ferramenta de certificação de conformidade (o FixVibe não é auditor “oficial” de SOC 2, ISO 27001, PCI DSS, HIPAA ou qualquer outro framework — consulte nossa política de uso aceitável para saber o que atestamos e o que não atestamos).

Falsos positivos. Um resultado rotulado como “crítico” não significa necessariamente que sua aplicação está criticamente vulnerável. A verificação pode ter sido acionada por um padrão que, na sua stack específica, é inócuo — por exemplo, uma resposta 403 de um firewall de borda que está corretamente bloqueando uma requisição, não expondo um arquivo. Trabalhamos para suprimir falsos positivos, mas não podemos eliminá-los.

Falsos negativos. Uma análise limpa não comprova que sua aplicação é segura. Verificações heurísticas deixam passar vulnerabilidades que exigem conhecimento de domínio, compreensão de lógica de negócio, cadeias de múltiplas etapas ou casos de teste que ainda não implementamos. A ausência de um resultado não é uma garantia de segurança.

Para sistemas em que a segurança é crítica para o seu negócio, você deve combinar o FixVibe com testes de penetração profissionais periódicos, um programa de bug bounty e revisão rigorosa de código.

Alguns resultados do FixVibe incluem remediações sugeridas — instruções escritas, trechos de código ou textos destinados a serem passados a um assistente de programação com IA. Essas sugestões são geradas automaticamente, em alguns casos por um modelo de linguagem de grande escala. Destinam-se a ser um ponto de partida para sua própria investigação, não um código pronto para uso.

Antes de aplicar qualquer remediação sugerida, incluindo qualquer texto que rotulamos como “prompt” ou “correção”, você deve:

1. lê-la na íntegra e confirmar que entende o que ela altera;
2. confirmar que é adequada para sua stack específica, versão de framework e configuração;
3. testá-la em um ambiente de staging que espelhe a produção;
4. revisar o diff com alguém qualificado antes de mesclar;
5. estar preparado para reverter caso a mudança cause comportamento inesperado.

Colar uma sugestão gerada por IA diretamente no código de produção sem revisão é por sua conta e risco. A EGO HERO LLC não aceita responsabilidade por interrupções, perda de dados, regressões de segurança ou outros danos causados pela aplicação de uma correção sugerida pelo FixVibe sem verificação independente.

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• causar lentidão ou picos de erros;
• criar linhas de teste no seu banco de dados via probes de injeção;
• acionar seus sistemas de monitoramento, paging ou listas de bloqueio do WAF;
• consumir cotas de API de terceiros (por exemplo, provedores de busca upstream, gateways de SMS) se seus endpoints os proxearem.

Recomendamos fortemente executar análises ativas em ambientes de staging. Se for necessário analisar produção, faça isso durante uma janela de manutenção. Ao iniciar uma análise ativa, você reconhece e aceita esses riscos.

Nossos rótulos de severidade (crítico, alto, médio, baixo, informativo) são calibrados para aplicações web típicas. Eles não consideram seu modelo de ameaça específico, população de usuários, ambiente regulatório ou valor do ativo. Um resultado “baixo” pode ser um risco material para uma fintech que lida com recursos de clientes; um resultado “crítico” pode ser irrelevante para um blog estático. Você está na melhor posição para traduzir um resultado em risco real.

Você é o único responsável por confirmar que tem autoridade para testar cada URL ou hostname que enviar. Análises ativas, mesmo que exijamos verificação de propriedade, não o isentam dessa responsabilidade — a verificação prova que você controla o DNS ou a resposta HTTP de um alvo, não que você tem autoridade legal ou contratual para testá-lo (por exemplo, um aplicativo SaaS que você opera em um subdomínio de um domínio seu ainda pode estar sujeito às regras de uso aceitável do seu provedor de nuvem). Consulte nossa Política de Uso Aceitável para o quadro completo.

A responsabilidade da EGO HERO LLC por qualquer reclamação decorrente do seu uso do FixVibe é regida pela Seção 10 dos Termos de Serviço, incluindo o limite de danos agregados. Ao usar o FixVibe, você reconhece que leu e compreendeu essa seção.

support@fixvibe.app.