CybeDefend
Retour à tous les posts
Produit

VibeDefend vient de sortir. Votre agent IA a de nouvelles règles, installées en 5 secondes.

Une commande npm transforme Claude Code, Cursor, OpenAI Codex, Windsurf et VS Code Copilot en citoyens gouvernés. Règles métier extraites de votre repo. OWASP, SOC 2, RGPD pré-câblés. Actions dangereuses bloquées avant qu'elles partent. Le point de contrôle a basculé de la pull request vers le prompt, et l'outillage a enfin suivi.

CYBEDEFENDCybeDefend
11 min read
#vibedefend#agents-ia#mcp#claude-code#cursor#sortie
Sur cette page
  1. Le point de contrôle a bougé. Presque personne ne l'a remarqué.
  2. Ce qui vient de shipper
  3. Trois couches de gouvernance, une seule installation
  4. Un passage concret
  5. Cinq agents, auto-détectés
  6. La traversée : du signup au prompt gouverné
  7. Privacy : rien sur votre code ne passe le fil
  8. Pricing : inclus dans tous les plans, free tier compris
  9. Ce que ça change

Votre agent IA livre plus de code en une journée que vos reviewers n'en liront en un mois. On vient de sortir l'outil qui donne à cet agent vos règles métier, vos référentiels sécurité et votre liste d'actions interdites. Installé en 5 secondes.

@cybedefend/[email protected] est arrivé sur npm hier. C'est une seule ligne npx qui auto-détecte chaque agent de coding sur votre laptop et les branche à la couche de gouvernance CybeDefend. Pas de yaml. Pas de déploiement. Pas de container à build. Pas d'endpoint SaaS à whitelister. Lancez-la, choisissez votre région, choisissez vos agents, et votre prochain prompt est déjà gouverné.

Ce post explique ce que le package fait, pourquoi il sort maintenant, et comment passer de npm à un prompt protégé en moins d'une minute.

Le point de contrôle a bougé. Presque personne ne l'a remarqué.

Pendant quinze ans, l'AppSec a vécu à l'intérieur de la pull request. Le SAST scannait le diff. La SCA vérifiait les dépendances. Le reviewer lisait le changement. Trois couches, toutes alignées sur le même artefact : la PR.

Ce modèle suppose une chose essentielle : qu'un humain lit le diff avant qu'il ne merge. Ça marche à la cadence humaine. Ça ne marche pas à la cadence agent.

Quand la session Claude Code d'un seul développeur livre 2 000 lignes de code dans une après-midi, la boucle de PR review se fracture. Certaines équipes mergent en automatique. D'autres regroupent la sortie de l'agent dans une PR géante que personne ne lit vraiment de bout en bout. Quoi qu'il arrive, le diff a cessé d'être un point de contrôle. C'est devenu une transcription.

Le nouveau point de contrôle, c'est le prompt lui-même. Quelles que soient les règles que vous voulez faire respecter, il faut les mettre dans les mains de l'agent avant qu'il écrive la ligne fautive, pas après, dans un scanner qui arrive une fois le code déjà sur disque et l'agent passé à autre chose.

C'est exactement la thèse de VibeDefend, et c'est ce qui a shippé hier.

Ce qui vient de shipper

VibeDefend est une CLI Node distribuée sous @cybedefend/vibedefend sur npm. Elle fait une chose : elle installe le pont entre votre agent de coding et le back-end de gouvernance CybeDefend. Ce pont a trois couches : règles métier extraites de votre repo, règles sécurité issues des référentiels de conformité canoniques, et action guards qui bloquent les appels dangereux avant qu'ils partent.

L'installer tient en une ligne.

npx -y @cybedefend/vibedefend@latest install

C'est toute l'interface. L'installer est interactif : il auto-détecte lequel de Claude Code, Cursor, OpenAI Codex, Windsurf et VS Code Copilot vit sur votre machine, demande votre région (EU ou US), et écrit le câblage MCP, les hooks de règles et les fichiers de doctrine au bon endroit.

npx -y @cybedefend/vibedefend@latest installChoisir EU ou USConfirmer les agents détectésOuvrir Claude Code
De npm à un prompt gouverné en quatre réponses interactives.

Node 18.17 est la seule exigence. La plupart des lecteurs l'ont déjà parce que Claude Code, Cursor et Codex shippent avec un Node bundlé. Marche sur macOS, Linux et Windows ; bash, zsh, fish, PowerShell, cmd et Git Bash se comportent tous pareil.

Trois couches de gouvernance, une seule installation

Une fois VibeDefend câblé, trois couches indépendantes commencent à surveiller l'agent. Chaque couche traite une surface de menace différente, et chacune parle une forme de règle différente.

Business Rules

Les conventions de votre repo qui sont réelles mais n'ont jamais été écrites. Utiliser Decimal128 pour l'argent. Ne jamais exposer un enregistrement soft-deleted. L'autorisation passe par requireOwner, pas par un contrôle d'appartenance brut. VibeDefend les extrait de la façon dont votre équipe code déjà, les propose comme règles explicites, et l'autopilot continue de miner au fur et à mesure que vous shippez. Chaque règle acceptée atterrit dans le contexte de l'agent avant l'édition suivante.

Security Rules

OWASP Top 10, SOC 2, RGPD, ISO 27001 : les playbooks que vos auditeurs attendent déjà, chargés le jour de l'install. Ajoutez vos propres règles custom par-dessus. L'agent lit chaque rappel applicable avant chaque édition, donc l'exigence du référentiel devient partie intégrante de l'écriture au lieu d'une case à cocher au moment de l'audit.

Action Guard

sudo rm -rf, lectures brutes de process.env sur des clés qui ressemblent à des secrets, instructions psql ad-hoc contre des hôtes qui ressemblent à de la prod. Action Guard intercepte l'appel de l'agent avant qu'il parte. Toggle warn ou block par règle, ajoutez vos patterns interdits, chaque interception atterrit dans le journal d'audit.

L'intérêt de les séparer, c'est qu'elles échouent de façons différentes. Une business rule qui glisse, c'est un bug qualité : votre code dérive de la convention, le modèle mental de votre équipe devient plus difficile à partager. Une security rule qui glisse, c'est un bug conformité : vous shippez quelque chose qui rate un contrôle SOC 2. Un Action Guard qui rate, c'est un bug maintenant : l'agent vient de lancer quelque chose de destructif sur la machine à laquelle il avait accès. VibeDefend traite les trois depuis la même installation.

Un passage concret

Trois minutes après l'install, votre session Claude Code ressemble à ça.

Vous demandez à l'agent d'ajouter une feature code-promo au checkout. L'agent édite cart-checkout.ts. Avant que l'édition atterrisse, VibeDefend pousse la règle minée no-raw-amount-math depuis src/billing.ts:14 dans le contexte : « Les montants monétaires DOIVENT utiliser Decimal128, jamais Number. » L'agent l'applique dès la première écriture (total = new Decimal128(cart.sum)) sans que vous ayez à dire un mot.

Une minute plus tard, vous lui demandez de filtrer la user-search par email. L'agent commence à draft db.query("SELECT * FROM users WHERE email = '" + email + "'"). VibeDefend match owasp-a03-injection (severity : high) avant que la ligne ne soit finie et l'agent récrit avec une requête paramétrisée. Encore une fois, vous n'avez rien dit.

Plus tard, en train de debug un problème d'environnement, l'agent propose avec assurance sudo rm -rf /etc/old-config. Action Guard le bloque avec no-destructive-sudo (severity critical, default-on, ne peut pas être désactivé) et l'événement atterrit dans votre audit trail CybeDefend avec un timestamp et un motif. L'agent reçoit un refus poli ; vous récupérez une entrée de log ; rien ne casse.

Aucun de ces tours n'a été contrôlé par un scanner qui lit le diff mergé. Les trois ont été contrôlés au prompt, par un outil qui avait déjà la bonne règle en main.

Cinq agents, auto-détectés

L'installer couvre les cinq agents de coding qui se partagent l'essentiel du marché en 2026 : Claude Code, Cursor, OpenAI Codex, Windsurf et VS Code Copilot. Il détecte ceux qui sont installés sur votre machine et ne câble que ceux que vous laissez cochés. Re-run de l'installer à tout moment pour activer ou désactiver un agent ; il est idempotent.

Les cinq agents n'exposent pas la même surface de hooks, donc la couverture de chaque couche diffère un peu. Claude Code, Cursor et Codex ont l'intégration la plus profonde. Windsurf supporte les guards côté écriture plus un fallback intelligent pour les outils non-write. VS Code Copilot ship le MCP et les couches de règles ; les Action Guards sont encore en attente côté GitHub. Re-run de l'installer pour récupérer tout agent qui exposerait de nouveaux hooks entre deux releases.

La traversée : du signup au prompt gouverné

Le chemin crédible le plus rapide entre « j'ai vu un tweet sur ce truc » et « mon agent est gouverné » fait environ soixante secondes.

Créer un compte CybeDefend sur eu.cybedefend.comCopier l'UUID du projet depuis le dashboardnpx -y @cybedefend/vibedefend@latest installDéposer .cybedefend/config.json dans le repoOuvrir Claude Code, prompter comme d'habitude
Soixante secondes en tout. Free tier, pas de carte.

Le dashboard vit sur eu.cybedefend.com ou us.cybedefend.com selon votre région ; vous choisissez à l'inscription. Le free tier existe, pas de carte demandée, et il inclut tout ce qu'il faut pour tester les trois couches de bout en bout. L'UUID est sur la page projet une fois que vous en avez créé un. Le .cybedefend/config.json est un fichier JSON d'une ligne que vous déposez à la racine de chaque repo à monitorer :

{ "projectId": "<votre-uuid-projet-cybedefend>" }

C'est tout l'onboarding. Pas de SDK à vendre, pas d'image Docker à maintenir, pas de DSL de politique à apprendre. L'agent récupère le câblage au prochain démarrage de session.

Privacy : rien sur votre code ne passe le fil

VibeDefend vit sur votre laptop, à côté de votre agent. Les décisions (est-ce qu'une règle se déclenche, est-ce qu'une action est bloquée, est-ce qu'un pattern miné mérite d'être proposé) se font localement. Seules les métadonnées de gouvernance structurées atteignent le back-end CybeDefend : le nom de la règle qui s'est déclenchée, le chemin du fichier qu'elle pointait, la sévérité, un timestamp, l'agent qui a appelé.

Aucun code source ne passe le fil. Aucun contenu de prompt ne passe le fil. Les règles métier minées sont produites localement et shippées à la plateforme sous forme d'énoncés en langage naturel d'une ligne accompagnés d'une référence de fichier ; le corps du fichier n'est jamais transmis. L'audit trail voit la règle, jamais la ligne de code qui a matché.

Les tenants EU et US sont physiquement séparés. Choisissez la région à l'install ; l'audit trail vit dans le tenant qui correspond. Pas de réplication, pas de chemin cross-region. Si vous avez besoin des deux, vous créez deux projets.

Pricing : inclus dans tous les plans, free tier compris

VibeDefend est inclus dans tous les plans CybeDefend, free tier compris. Le package npm est gratuit, licencié BUSL-1.1, et se convertit en Apache-2.0 le 2030-05-25. Les plans payants côté plateforme débloquent la rétention historique de l'audit trail, la gestion de règles multi-équipes et les dashboards niveau org.

L'intention est simple : la friction pour mettre la gouvernance à l'intérieur de l'agent doit être zéro. La friction pour la scaler dans une org, c'est là que la relation commerciale commence.

Ce que ça change

Pendant dix ans, l'AppSec a vendu des scanners qui arrivaient après l'écriture du code. Ça avait du sens quand les humains écrivaient le code, parce que les humains ralentissent généralement avant de merger. Ce modèle a maintenant un ordre de grandeur de retard sur le workflow. L'agent ship plus vite que le cycle du scanner, le reviewer lit moins que ce que l'agent produit, le diff n'est plus la barrière qu'il était.

Le point de contrôle a bougé vers le prompt. La question pour chaque équipe en 2026, c'est de savoir si leur stack AppSec a bougé avec, ou s'ils financent encore des outils qui surveillent un étage du pipeline qui ne compte plus autant.

VibeDefend, c'est la réponse qu'on vient de shipper. Ce n'est pas la seule possible, et ce ne sera pas la dernière forme que prendra la catégorie. Mais c'est la première chose qu'on a vue qui s'installe en 5 secondes, qui tourne sur votre laptop, qui parle tous les agents majeurs, et qui vous donne les trois couches de gouvernance d'un coup. C'est la barre à partir de maintenant.

Le package complet est sur npmjs.com/package/@cybedefend/vibedefend. Le README et la matrice de support vivent sur GitHub. La page produit est sur cybedefend.com/vibedefend. La plateforme est sur eu.cybedefend.com et us.cybedefend.com.

Shippez une feature cet après-midi. Voyez vos règles métier atterrir dans le contexte de l'agent. Dites-nous ce qu'on a raté.

Pour continuer

Trois autres analyses, choisies pour cet article.

Restez sur le même fil, ou prenez un nouvel angle sur la sécurité agent-time.

Recherche

Secure-by-Design à l'ère des agents IA

L'IA redéfinit le Secure by Design, elle transforme une sécurité statique en défense proactive et intelligente. Comment les agents IA prédisent et préviennent les menaces avant qu'elles n'arrivent.

8 min readLire la suite
Recherche

Pourquoi votre scanner remonte 1 200 vulnérabilités et seulement 12 sont vraies

Ouvrez n'importe quel rapport SAST sur une codebase qui tourne. Vous verrez des chiffres à quatre digits en face de 'critique'. Petit guide de ce que reachability, exploitability et logique métier veulent vraiment dire, et pourquoi le pattern matching seul ne sait pas les distinguer.

10 min readLire la suite
Recherche

Le panier à 0 € : pourquoi votre rapport SAST « tout vert » vous ment

Leur CI/CD était parfait. Snyk tournait. Dependabot veillait. Tous les voyants au vert. Dix minutes après le début de l'audit, j'avais acheté tout leur stock pour 0 €.

5 min readLire la suite
En live · tout juste sorti

Installez VibeDefend en 5 secondes.

Une commande. Chaque agent de coding sur votre laptop branché à CybeDefend — règles métier minées dans votre code, règles sécurité des frameworks que vos auditeurs attendent, action guards qui bloquent les appels dangereux avant qu'ils partent.

Installer en 5 secondesNode 18.17+
npx -y @cybedefend/vibedefend@latest install
Auto-détecte
  • Claude CodeClaude Code
  • CursorCursor
  • OpenAI Codex
  • WindsurfWindsurf
  • GitHub CopilotVS Code Copilot
Lire le README sur npm