AST SEMÁNTICO Parsing determinístico — sin IA en el path de seguridad

Tu LLM generó un DELETE sin WHERE. Lo bloqueamos antes de que tocara producción.

Vetro actúa como proxy transparente entre tu aplicación y tu base de datos. Parsea el AST de cada query en <2ms y bloquea operaciones destructivas antes de que lleguen a producción.

Sin cambios en tu código Onboarding en <5 minutos Cero falsos positivos
Interceptando query de agente LLM...
SQL DELETE FROM users
BLOCKED VETRO-001
Nodo AST: DeleteStmt > WhereClause = NULL
Filas afectadas estimadas: 847,293
Sugerencia: DELETE FROM users WHERE id = $1
Latencia de parsing: 1.3ms
10M+ queries analizadas
<2ms latencia p99
0 falsos positivos
4 dialectos SQL

El problema que nadie resuelve bien

Los agentes de IA generan queries no supervisadas. Los permisos de base de datos son frágiles. Los allowlists de operaciones no detectan UPDATE sin WHERE ni TRUNCATE en CTEs.

SIN VETRO

Pipeline sin protección

Agente LLM
Producción
DELETE FROM users -- Sin WHERE. 847,293 filas. -- Irrecuperable.
  • Permisos de DB frágiles y difíciles de auditar
  • Allowlists no detectan UPDATE sin WHERE
  • Sin visibilidad de qué generó el LLM
CON VETRO

Proxy en el path crítico

Agente LLM
Vetro
Producción
BLOQUEADA VETRO-001 DeleteStmt > WhereClause = NULL
Query segura sugerida: DELETE FROM users WHERE id = $1
  • AST parsing semántico completo del árbol
  • Explicación accionable con nodo exacto
  • Audit trail inmutable para SOC2/ISO27001

No es IA juzgando IA. Es matemática.

El AST parsing produce el mismo resultado en el 100% de las ejecuciones — sin varianza estocástica, sin drift de modelo. Certificable para auditorías SOC2.

Sub-2ms en el path crítico. Tu base de datos no lo nota.

El parsing AST de una query típica (<500 tokens) ocurre en <2ms en p99. Overhead medible en benchmarks contra conexión directa: <0.3%.

No solo bloquea. Te dice exactamente por qué y cómo arreglarlo.

Cada bloqueo incluye: nodo AST infractor, regla violada, severity score, y query segura sugerida. Reduce tiempo de debug de 4h a <15min.

CARACTERÍSTICAS

Seguridad determinística para tu stack de IA

Vetro cubre los gaps que los allowlists simples no pueden cubrir. Parsing semántico completo, multi-dialecto, con explicaciones accionables.

Cero Credenciales Almacenadas

Vetro nunca guarda las credenciales de tu base de datos. El proxy corre en tu infraestructura y reenvía la autenticación de forma transparente. Tus credenciales jamás salen de tu red.

SEGURIDAD

Sin Cambios en tu Código

Solo cambias el host en tu connection string. Vetro habla el wire protocol de PostgreSQL, así que tu ORM, driver o framework funciona igual. Sin agentes, sin SDK, sin refactors.

AST Parsing Semántico Completo

Analiza la estructura sintáctica completa de la query, no solo el primer token. Detecta DELETE con LIMIT 0, UPDATE sin WHERE en subqueries anidadas, y TRUNCATE disfrazado en CTEs.

DIFERENCIADOR CLAVE

Cero Falsos Positivos

El parsing AST es determinístico: el mismo input produce siempre el mismo output. Sin modelos de ML, sin varianza estocástica. Si la query es segura, pasa. Si es destructiva, se bloquea con razón explícita.

Guardrail para Agentes de IA y Text2SQL

Diseñado para SQL generado por LLMs. Inspecciona cada query que tus agentes, copilots o pipelines Text-to-SQL envían a la base de datos y bloquea las destructivas antes de que se ejecuten.

Fail-Open: Nunca Tumba tu Base de Datos

Si el control-plane no responde o una query no se puede parsear, el tráfico sigue fluyendo en lugar de cortarse. El proxy prioriza la disponibilidad de tu base de datos y registra el evento para revisión.

Sub-2ms en p99

El proxy TCP en Rust con pg_query y sqlparser-rs garantiza latencia de parsing <2ms en el percentil 99. Overhead vs conexión directa: <0.3%. Tu base de datos no lo nota.

Multi-Dialecto Real

Postgres, MySQL, Oracle y SQL Server con reglas semánticas específicas por dialecto. No una regexp genérica aplicada a todos. DELETE con LIMIT es válido en MySQL — Vetro lo sabe.

SQLITE Y SNOWFLAKE: ROADMAP

Explicaciones Accionables

Cada query bloqueada devuelve el nodo exacto del AST que activó el bloqueo + la versión segura sugerida. Acorta el ciclo de debug de horas a segundos.

Audit Trail Inmutable

Registro inmutable de cada decisión de Vetro, exportable en CSV/JSON con firma HMAC-SHA256 para evidencia SOC2 e ISO27001. Con alertas en tiempo real vía Slack o webhooks ante bloqueos CRITICAL.

Modo Dry-Run para CI/CD

Valida queries SQL en tu pipeline de CI antes del deploy. vetro check --file queries.sql --dialect postgres. El pipeline falla con reporte accionable si detecta queries destructivas.

Reglas Custom en YAML

Define condiciones específicas sobre el AST para patrones de queries propios de tu dominio. Preview en tiempo real sobre historial de queries antes de activar en producción.

CÓMO FUNCIONA

Tres pasos. Sin cambios en tu código.

Vetro se interpone como proxy transparente. Solo cambias el host en tu connection string. Sin agentes en el servidor, sin modificaciones en tu ORM.

Cambia el connection string

Reemplaza el host de tu base de datos por el proxy de Vetro. Una línea. Sin modificaciones en tu ORM ni en tu aplicación.

- postgres://user:pass@prod-db.host:5432/db
+ postgres://user:pass@proxy.vetro.dev:5432/db

Vetro parsea el AST en tiempo real

Cada query es analizada con el parser oficial del dialecto — pg_query para Postgres, sqlparser-rs para MySQL. El árbol sintáctico completo, no solo el primer token.

DeleteStmt
relation: users
whereClause: NULL ⚠

Destructivas bloqueadas. Seguras pasan.

Las queries que violan el ruleset son bloqueadas con el nodo AST infractor, la regla activada y la versión segura sugerida. Las queries limpias pasan sin latencia adicional >2ms.

BLOQUEADA DELETE FROM users
PERMITIDA SELECT * FROM users WHERE id = $1
USE CASES

Built for the two highest-risk scenarios

LLM agents with database access and CI/CD pipelines with LLM-generated SQL — where the real incidents happen.

INTEGRACIONES

Funciona con tu stack actual

Vetro es compatible con cualquier driver o ORM que use un connection string estándar. Sin cambios en tu código.

Bases de datos

PostgreSQL

Soporte completo del dialecto Postgres incluyendo CTEs, subqueries, extensiones y funciones específicas. Usando pg_query — el parser oficial.

Estable

MySQL

Soporte completo del dialecto MySQL con reglas semánticas específicas. DELETE con LIMIT es válido en MySQL — Vetro aplica las reglas correctas por dialecto.

Estable

SQLite

Roadmap: soporte del dialecto SQLite para agentes y entornos embebidos. Ideal para proteger pipelines de IA en edge functions y herramientas CLI con acceso a base de datos local.

PRÓXIMAMENTE

Oracle

Soporte completo del dialecto Oracle DB. Bloquea DELETE/UPDATE sin WHERE, DROP TABLE y TRUNCATE en bases de datos Oracle de producción.

Estable

SQL Server

Soporte completo del dialecto MSSQL / SQL Server. Parsing AST con reglas semánticas específicas para T-SQL, incluyendo CTEs y sintaxis propietaria.

Estable

Snowflake

Protección para pipelines LLM de analytics sobre Snowflake. Bloquea TRUNCATE y DROP en data warehouses de producción.

PRÓXIMAMENTE

Frameworks y herramientas

LangChain

Compatible con cualquier agente LangChain que use SQLDatabase. Solo cambia el connection string en tu SQLAlchemy engine.

Compatible

Vercel AI SDK

Integración transparente con pipelines Text-to-SQL construidos con el Vercel AI SDK. Sin modificaciones en tu código de generación.

Compatible

Supabase

Protege tu base de datos Supabase de queries destructivas generadas por agentes. Compatible con el cliente de Supabase y con acceso directo via Postgres.

Compatible

MCP Servers

Protección nativa para servidores MCP que exponen bases de datos a agentes de IA. El ecosistema MCP crece 3x YoY — Vetro crece con él.

Nativo

GitHub Actions

Integración nativa con GitHub Actions para dry-run en CI/CD. Anotaciones inline en el PR señalando queries destructivas con el código de regla y la sugerencia de fix.

CI/CD

¿No ves tu stack? Vetro funciona con cualquier driver que use un connection string estándar. Ver guía de integración →

PRECIOS

Empieza gratis. Escala cuando lo necesites.

Free tier generoso para explorar. Planes de pago cuando Vetro esté en tu path crítico de producción.

Free

$0 /mes

Para explorar Vetro en staging o desarrollo.

  • 500K queries/mes
  • 1 base de datos
  • 20 reglas estándar
  • Retención de logs 7 días
  • Reglas custom
  • Alertas Slack/webhook
  • CI/CD dry-run SDK
Empezar gratis

Builder

$49 /mes

Para equipos que construyen con agentes de IA en producción.

  • 5M queries/mes
  • 3 bases de datos
  • Reglas custom (YAML)
  • Retención de logs 30 días
  • Alertas Slack/webhook (digest 5/15 min)
  • CI/CD dry-run SDK
  • Audit trail exportable
Activar plan Builder

Team

$149 /mes

Para equipos con múltiples bases de datos y pipelines de CI/CD.

  • Queries ilimitadas
  • 10 bases de datos
  • Reglas custom ilimitadas
  • Retención de logs 90 días
  • CI/CD dry-run SDK
  • Audit trail exportable (CSV/JSON)
  • Alertas en tiempo real (Slack/Teams/webhook)
  • Soporte por email
Activar plan Team

Enterprise

Custom

SLA, SSO, VPC deployment y compliance reports para organizaciones.

  • Todo lo del plan Team
  • SLA garantizado
  • SSO (SAML/OIDC)
  • VPC deployment
  • Compliance reports (SOC2/ISO27001)
  • Retención configurable
  • Soporte prioritario
Hablar con el equipo
TESTIMONIOS

Lo que dicen los equipos de ingeniería

Equipos que ya protegen sus bases de datos con Vetro en producción.

"Nuestro agente LangChain generó un UPDATE sin WHERE en producción a las 2am. Vetro lo bloqueó, nos mandó la alerta en Slack con el nodo AST exacto, y el debug tardó 8 minutos en lugar de las 4 horas que habría tardado sin la explicación. Onboarding en 4 minutos."

Carlos Rodríguez Backend Engineer Fintech startup, 85 ingenieros

"Teníamos un pipeline Text-to-SQL sobre Postgres sin ninguna capa de protección. El CTO insistía en que los permisos de DB eran suficientes. Después de integrar Vetro en 5 minutos y ver el primer DROP TABLE bloqueado en el dashboard, el debate terminó. El audit trail nos sirvió directamente para SOC2."

Sarah Liu Platform Engineer SaaS B2B, 120 ingenieros

"Lo que más me convenció fue el modo dry-run para CI/CD. Ahora el pipeline falla antes del deploy si alguna migración generada por el LLM incluye un TRUNCATE sin condición. Ningún otro competidor tenía esto. La integración con GitHub Actions tardó 20 minutos."

Marcus Klein DevOps Lead E-commerce, 200 ingenieros

"Evaluamos tres herramientas de SQL firewall. Vetro fue la única con parsing semántico real — las demás hacían regex. El diferenciador para mí fue el modo dry-run: en 30 minutos lo integramos en nuestro pipeline de Terraform y ahora cualquier migración generada por IA pasa por Vetro antes de tocar staging."

Ana Pereira Staff Engineer Healthtech, 60 ingenieros
FAQ

Preguntas frecuentes

Respuestas técnicas precisas. Sin marketing-speak.

EMPIEZA HOY

Parse before it burns.

Conecta tu primera base de datos en menos de 5 minutos. Free tier con 500K queries/mes. Sin tarjeta de crédito.

Sin tarjeta de crédito
Onboarding en <5 minutos
Cancela cuando quieras