vibe-security

AI コード生成によって一般的に導入されるセキュリティ脆弱性を監査します。これらの問題は「vibe-coded」アプリ（AI支援により迅速に構築されたが、セキュリティの基本がスキップされたプロジェクト）に蔓延しています。

AI アシスタントはこれらのパターンを一貫して間違えており、実際の侵害、盗まれた API キー、および枯渇した請求アカウントにつながります。このスキルは、これらの間違いが本番環境に展開される前に捕捉するために存在します。

コア原則

クライアントを信頼してはいけません。すべての価格、ユーザーID、役割、サブスクリプションステータス、フィーチャーフラグ、およびレート制限カウンターは、サーバーサイドで検証または実装される必要があります。ブラウザ、モバイルバンドル、またはリクエストボディにのみ存在する場合、攻撃者がそれを制御します。

監査プロセス

コードベースを体系的に検査します。各ステップについて、コードベースがその技術またはパターンを使用している場合にのみ関連参照ファイルを読み込みます。関連のないステップはスキップしてください。

1. シークレットと環境変数 — ハードコードされた API キー、トークン、または認証情報をスキャンします。クライアント側の環境変数プレフィックス（NEXT_PUBLIC_、VITE_、EXPO_PUBLIC_）を介して公開されたシークレットをチェックします。.env が .gitignore に含まれていることを確認します。references/secrets-and-env.md を参照してください。

2. データベースアクセス制御 — Supabase RLS ポリシー、Firebase Security Rules、または Convex 認証ガードをチェックします。これは vibe-coded アプリの重大な脆弱性の #1 の原因です。references/database-security.md を参照してください。

3. 認証と認可 — JWT 処理、ミドルウェア認証、Server Action 保護、およびセッション管理を検証します。references/authentication.md を参照してください。

4. レート制限と悪用防止 — 認証エンドポイント、AI 呼び出し、および高コストの操作にレート制限があることを確認します。レート制限カウンターが改ざんできないことを確認します。references/rate-limiting.md を参照してください。

5. 支払いセキュリティ — クライアント側の価格操作、ウェブフック署名検証、およびサブスクリプションステータス検証をチェックします。references/payments.md を参照してください。

6. モバイルセキュリティ — 安全なトークンストレージ、バックエンドプロキシを介した API キー保護、およびディープリンク検証を検証します。references/mobile.md を参照してください。

7. AI / LLM 統合 — 公開された AI API キー、欠落した使用制限、プロンプトインジェクションベクトル、および安全でない出力レンダリングをチェックします。references/ai-integration.md を参照してください。

8. デプロイメント構成 — 本番環境設定、セキュリティヘッダー、ソースマップの公開、および環境の分離を検証します。references/deployment.md を参照してください。

9. データアクセスとInput Validation — SQL インジェクション、ORM の誤用、および欠落した入力検証をチェックします。references/data-access.md を参照してください。

部分的なレビューを行っているか、特定の領域でコードを生成している場合は、関連する参照ファイルのみを読み込みます。

コア指示

• 本物のセキュリティ問題のみを報告します。スタイルやセキュリティ以外の懸念について細かく指摘しないでください。
• 複数の問題が存在する場合、悪用可能性と実世界への影響によって優先順位を付けます。
• コードベースが特定の技術（例：Supabase がない）を使用していない場合、そのセクション全体をスキップします。
• 新しいコードを生成する場合、関連する参照ファイルに積極的に相談して、最初から脆弱性の導入を回避します。
• 重大な問題（シークレットの公開、RLS が無効、認証バイパス）を見つけた場合、長いリストに埋もれさせずに、応答の先頭で即座にフラグを立てます。

出力形式

重大度別に結果を整理します：Critical（重大） → High（高） → Medium（中） → Low（低）。

各問題について：

1. ファイルと関連行を記述します。
2. 脆弱性の名前を付けます。
3. 攻撃者が何をできるかを説明します（抽象的なリスクではなく具体的な影響）。
4. before/after のコード修正を示します。

問題がない領域はスキップします。優先順位付きサマリーで終了します。

出力例

Critical

lib/supabase.ts:3 — Supabase service_role キーがクライアントバンドルで公開されている

service_role キーはすべての Row-Level Security をバイパスします。誰でもブラウザバンドルから抽出でき、データベースのすべての行を読み取り、変更、または削除できます。

// Before
const supabase = createClient(url, process.env.NEXT_PUBLIC_SUPABASE_SERVICE_KEY!)

// After — クライアント側では anon キーを使用します。service_role はサーバーサイドコードのみに属します
const supabase = createClient(url, process.env.NEXT_PUBLIC_SUPABASE_ANON_KEY!)

High

app/api/checkout/route.ts:15 — クライアントリクエストボディから取得した価格

攻撃者はリクエストを修正することで、任意の価格（$0.01 を含む）を設定できます。価格はサーバーサイドで検索される必要があります。

// Before
const session = await stripe.checkout.sessions.create({
  line_items: [{ price_data: { unit_amount: req.body.price } }]
})

// After — サーバーサイドで価格を検索します
const product = await db.products.findUnique({ where: { id: req.body.productId } })
const session = await stripe.checkout.sessions.create({
  line_items: [{ price: product.stripePriceId }]
})

サマリー

1. Service role キー公開（Critical）: 誰でもすべてのデータベースセキュリティをバイパスできます。キーをすぐにローテーションして、サーバーサイドのみに移動します。
2. クライアント制御の価格（High）: 攻撃者は任意の価格で購入できます。サーバーサイドの価格検索を使用します。

コード生成時

これらのルールは予防的にも適用されます。認証、支払い、データベースアクセス、API キー、またはユーザーデータに触れるコードを記述する前に、関連する参照ファイルに相談して、最初から脆弱性の導入を回避します。予防は検出より優れています。

参照

• references/secrets-and-env.md — API キー、トークン、環境変数構成、および .gitignore ルール。
• references/database-security.md — Supabase RLS、Firebase Security Rules、および Convex 認証パターン。
• references/authentication.md — JWT 検証、ミドルウェア、Server Actions、およびセッション管理。
• references/rate-limiting.md — レート制限戦略と悪用防止。
• references/payments.md — Stripe セキュリティ、ウェブフック検証、および価格検証。
• references/mobile.md — React Native および Expo セキュリティ：安全なストレージ、API プロキシ、ディープリンク。
• references/ai-integration.md — LLM API キー保護、使用制限、プロンプトインジェクション、および出力サニタイゼーション。
• references/deployment.md — 本番環境構成、セキュリティヘッダー、および環境分離。
• references/data-access.md — SQL インジェクション防止、ORM セーフティ、および入力検証。