「バイブ コーディング」と呼ばれることが多い、迅速な AI プロンプトによるアプリケーションの構築は、生成された出力が徹底的にレビューされていない場合、重大なセキュリティ上の見落としにつながる可能性があります。 AI ツールは開発プロセスを加速しますが、安全でないコード パターンを提案したり、開発者が誤って機密情報をリポジトリ [S3] にコミットしたりする可能性があります。
影響
監査されていない AI コードの最も差し迫ったリスクは、API キー、トークン、データベース資格情報などの機密情報が漏洩することであり、AI モデルはこれらをハードコードされた値 [S3] として提案する可能性があります。さらに、AI で生成されたスニペットには重要なセキュリティ制御が欠けている可能性があり、Web アプリケーションは標準セキュリティ ドキュメント [S2] に記載されている一般的な攻撃ベクトルにさらされることになります。これらの脆弱性が含まれると、開発ライフサイクル [S1][S3] 中に特定されなかった場合、不正アクセスやデータ漏洩につながる可能性があります。
根本原因
AI コード補完ツールは、安全でないパターンや漏洩した秘密が含まれる可能性のあるトレーニング データに基づいて提案を生成します。 「バイブ コーディング」ワークフローでは、速度を重視するため、開発者が徹底的なセキュリティ レビューを行わずにこれらの提案を受け入れることになることがよくあります ([S1])。これにより、ハードコードされたシークレット [S3] が含まれ、安全な Web 操作に必要な重要なセキュリティ機能が省略される可能性があります ([S2])。
具体的な修正
- シークレット スキャンの実装: 自動ツールを使用して、API キー、トークン、およびその他の資格情報のリポジトリ [S3] へのコミットを検出し、阻止します。
- 自動コード スキャンを有効にする: 静的分析ツールをワークフローに統合して、[S1] を展開する前に、AI で生成されたコードの一般的な脆弱性を特定します。
- Web セキュリティのベスト プラクティスを順守する: 人間によるコードか AI によって生成されたコードかにかかわらず、すべてのコードが Web アプリケーション [S2] に対して確立されたセキュリティ原則に従っていることを確認します。
FixVibe がそれをテストする方法
FixVibe は、GitHub リポジトリ スキャンを通じてこの調査をカバーするようになりました。
repo.ai-generated-secret-leakは、リポジトリ ソースをスキャンして、ハードコードされたプロバイダー キー、Supabase サービス ロール JWT、秘密キー、および高エントロピーの秘密のような割り当てを探します。証拠には、生のシークレットではなく、マスクされた行のプレビューとシークレット ハッシュが保存されます。code.vibe-coding-security-risks-backfillは、コード スキャン、シークレット スキャン、依存関係の自動化、および AI エージェントの指示など、AI 支援開発に関するセキュリティ ガードレールがリポジトリにあるかどうかをチェックします。- 既存のデプロイ済みアプリのチェックでは、JavaScript バンドルのリーク、ブラウザー ストレージ トークン、公開されたソース マップなど、既にユーザーに届いている機密が引き続きカバーされます。
これらのチェックを組み合わせることで、具体的な極秘証拠をより広範なワークフローのギャップから分離します。