Vibe Codingで作ったアプリがハッキングされるのか気になって、自分でスキャンしてみました
(vibesafe.onrender.com)私は非エンジニアですが、最近はCursorでいろいろ作っています。
数日前にFlaskでショッピングモールっぽいものを作ったのですが、「これ、誰かにハッキングされたらどうしよう?」と思って、いわゆるセキュリティスキャナーを回してみました。
結果: 0/100点。F評価。
SQL Injectionが何かも知らなかったのに、自分のコードにあると出てきたんです。eval()が危険だということも、このとき初めて知りました。
そこで「自分だけなのかな?」と思って、GitHubで似たようなプロジェクトを10件ほど追加でスキャンしてみました。
結果
| プロジェクト | 何で作られているか | スコア | 検出内容 |
|---|---|---|---|
| Vibe-Skills | Python + TypeScript | 0点 | MD5ハッシュ、シークレット露出 |
| vibe-kanban | React | 0点 | アクセシビリティ不備 25件 |
| vibedev | JavaScript | 20点 | ハードコードされたAPIキー 4件 |
| Product-Brainstorm | React + Express | 76点 | アクセシビリティの欠落 |
| motif | React | 76点 | アクセシビリティの欠落 |
| VibeSecurity | FastAPI + Go | 88点 | CORS設定の問題 |
| mcphub | Go + Next.js | 88点 | Docker設定 |
| Vibe-Coder | Next.js | 96点 | アクセシビリティ 1件 |
| ctx-cloud | TypeScript | 96点 | アクセシビリティ 1件 |
| Portfolio | Next.js | 96点 | アクセシビリティ 1件 |
平均は63点。でも、バックエンドがあるプロジェクトの大半はF評価でした。
ポートフォリオやフロントエンドだけのものはほぼ満点なのに、DB接続やAPIキーを使い始めると、急に0点近くまで落ちるんです。
学んだこと
- APIキーをコードに直接書いてはいけない —
.envファイルに入れるべきだと初めて知りました - AIに「セキュリティに気を配って」と言っても、あまりうまくいかない — 実験してみたら一部しか直してくれませんでした
- フロントだけならまだ大丈夫でも、バックエンドを付けると危険になる — 決済やログインを作る段階が本当に危ないタイミングです
スキャンツール
自分で作ってみました。GitHub URLを入れると30秒以内にスコアが出ます。
登録不要で無料です。私のような初心者でも、少なくとも「自分のコードがどれくらい危険か」を分かるように作りました。結果が出たらAIにコピー&ペーストすると修正してくれます。
ソースコード: https://github.com/vibesafeio/vibesafe-action
フィードバックをいただけると嬉しいです。
2件のコメント
とてもよく使ってみました!
ありがとうございます!いかがでしたか!?