こんにちは、Naeildoを作っているチームです。
Cursor、Claude CodeのようなAIコーディングツールで素早くサービスを作る人が増えました。私たちもその一員でしたが、ある日ふと「このコードは本当に安全なのか?」という疑問が残りました。
自分たちで確かめてみることにしました。国内スタートアップ28社の本番サービスをOWASP Top 10基準で分析してみたところ、予想とは異なる結果が出ました。
- AI生成コードの45%でセキュリティ脆弱性を発見
- 28サービスの平均セキュリティスコア: 100点満点中19.4点
- 最も一般的な脆弱性: APIキーのハードコーディング、JWTの有効期限未設定、CORSの全許可
この問題を解決したくて、Naeildoを作りました。
どのように動作しますか
URLを入力すると、9つのAIエージェントが3つのチームに分かれて分析します。
- Guardチーム(3名): 静的コード分析、依存関係監査、インフラセキュリティ点検
- Analystチーム(3名): 動的セキュリティテスト、認証/アクセス制御の検証、AIコードパターン分析
- Verifierチーム(3名): OWASP標準準拠の確認、コンプライアンス検証、全体結果のクロス検証
各エージェントが独立して分析した後、二重経路(URL外部シグナル収集 + MCPサーバー連携)でクロス検証します。1つのエージェントが見落とした部分を別のエージェントが捉える構造です。
コードを直接提出する必要はありません。URLから観測可能なヘッダー、TLS、CORS、DNS、コンテンツメタなどのシグナルを収集して分析します。
分析結果
- 脆弱性一覧 + 深刻度分類
- 段階別改善ガイド: 1番から順番に従えば完了する形(修正コード例を含む)
- PDFレポート: セキュリティ点検結果を文書として整理し、共有できる形式
- Markdown形式: 開発者がすぐに実行できる形式
作ることになった理由
KISIAの調査によると、国内企業の67.4%がセキュリティ組織自体を運営しておらず、企業あたりのセキュリティ専任人材は平均0.8人です。セキュリティ点検をしたくても、専門人材や外部委託なしには始めにくい構造です。
AIコーディングツールでサービスを作る速度は速くなった一方で、そのコードを検証できるアクセスしやすい手段が不足していると感じました。URL1つですぐに分析を回せたらいい、という考えから始まりました。
技術スタック
- Next.jsベースのWebアプリケーション
- Multi-AI Agentアーキテクチャ(Guard / Analyst / Verifier の3チーム9エージェント)
- URLベースのマルチモデルクロス検証パイプライン
フィードバックや気になる点があれば、コメントでお寄せください。技術的な質問も歓迎します。積極的にお答えします。
1件のコメント
AIを使って作る本人であれば、AIを使ってセキュリティ問題を見つけて修正できるはずですが、このサービスにはそのような方法と比べてどんな利点があるのでしょうか?