Чек-лист безопасности для Vibe Coding
ИИ позволяет людям без технического образования создавать программное обеспечение. Я видел, как исследовательница использовала Claude, чтобы оживить заброшенную платформу. Она снизила затраты и повысила производительность, не будучи профессиональным разработчиком.
Это потрясающе. Но это также и рискованно.
Vibe coding — это создание ПО с активной помощью ИИ без глубокого понимания исходного кода или архитектуры. Если вы выпускаете код в продакшн, вы — разработчик. А это значит, что вы несете ответственность.
Vibe coding личного блога — это нормально. Vibe coding системы с платежами, логинами и пользовательскими данными — совсем другое дело. ИИ может писать отличный код, но он также может создавать опасные уязвимости в безопасности.
Если вы используете ИИ для управления веб-проектом, не просите его просто «сделать так, чтобы всё работало». Используйте его для поиска рисков. Используйте эти вопросы для аудита вашего проекта перед запуском:
- Определите критические зоны: где находятся логины, платежи и персональные данные?
- Проверьте наличие открытых секретов: видны ли ваши ключи Stripe, пароли или учетные данные базы данных в коде или на фронтенде?
- Проведите аудит зависимостей: не устарели ли ваши библиотеки и не содержат ли они известных уязвимостей?
- Проверьте аутентификацию: как пользователи входят в систему? Правильно ли настроены сессии и куки?
- Проверьте авторизацию: может ли обычный пользователь получить доступ к данным администратора, просто изменив ID в URL?
- Защитите функции администратора: скрыта ли панель администратора только на уровне интерфейса или она заблокирована на стороне сервера?
- Проверьте платежи: подтверждает ли ваш сервер платежи через вебхуки или он просто доверяет фронтенду?
- Протестируйте вебхуки: может ли кто-то подделать уведомление о платеже для вашей системы?
- Валидируйте все входные данные: защищены ли ваши формы и строки поиска от инъекций?
- Ограничьте использование: могут ли боты спамить в инструменты входа или поиска, увеличивая ваши расходы?
- Мониторьте логи ошибок: не раскрывают ли сообщения об ошибках детали базы данных или пароли пользователям?
- Обезопасьте загрузку файлов: ограничиваете ли вы типы и размеры файлов для предотвращения атак?
- Сравните окружения: не используете ли вы случайно тестовые ключи или режимы отладки в продакшене?
- Создайте простые тесты: можете ли вы доказать, что пользователь не может получить доступ к данным другого человека?
- Спрашивайте о неопределенности: спросите ИИ: «Какие риски безопасности ты НЕ можешь проверить?»
Не спрашивайте ИИ, безопасен ли ваш проект. Просите его показать, в чем заключается неопределенность.
Если ваш проект затрагивает жизни реальных людей или реальные деньги, обратитесь за профессиональной помощью. Используйте ИИ, чтобы задавать более точные вопросы, а не для замены человеческого контроля.
Источник: https://dev.to/marciofrayze/15-perguntas-de-seguranca-para-quem-esta-praticando-vibe-coding-1h7j