無料診断ツール
10の質問に答えるだけで、本番化に潜むリスクを診断します。 所要時間は約2分。セキュリティ・インフラ・データ管理の観点で、 vibe codingで作ったプロダクトに多い見落としを確認します。
Bolt.new・Lovable・Cursor・v0・Claude Codeは「動くコード」を高速で生成できますが、生成されたコードはセキュリティ設定が省略されていることが多い。プロトタイプを作るという目的では問題ないが、そのままユーザーに公開するには別の判断が必要だ。
最も多い問題は3つ。APIキーのコード直書き(GitHubに上げると即漏洩)、Supabase RLSの未設定(全データが外部から読み取り可能になる)、認証チェックの漏れ(URLを直打ちすると他ユーザーのデータが見える)。これらは動作確認だけでは気づけない。
この診断ツールは、vibe codingで作ったプロダクトに特有の見落としを10項目でチェックする。「問題なし」でも、プロによる最終確認を推奨する。
RLS未設定のSupabaseテーブル
AIが生成するコードはRLSを設定しないことが多い。1テーブルでも未設定があると、そのテーブルの全データが誰でも取得・削除できる状態になる。
APIキーやシークレットの直書き
「とりあえず動かす」ためにコードに直書きしたAPIキーがそのままになっているケース。GitHubにプッシュした時点で外部に漏洩する。
他ユーザーのデータが見える
URLの数字やIDを変えると他のユーザーのデータが取得できる「IDOR脆弱性」。自分のアカウントで確認しているだけでは発見できない。
本番・開発環境が同じDB
開発中に入れたテストデータが本番に混在する。Supabaseプロジェクトを分けていないと、開発中の操作で本番データを誤って削除するリスクもある。
AIコーディングツールは「動くコード」を生成することを優先するため、セキュリティ設定(RLSの有効化、APIキーの環境変数管理、認証チェックなど)を省略したり、デモ用のゆるい設定のままにするケースが多くあります。特にSupabaseのRLS未設定と、.envファイルの管理ミスが最も多い問題です。
RLS(Row Level Security)はSupabaseのデータベースのアクセス制御機能です。RLSが無効のテーブルは、anon keyを持つ誰でも全データを読み取り・削除できる状態になります。AIが生成したコードでは、RLSを設定しないままのテーブルが残っているケースが非常に多くあります。
最優先で確認すべきは(1)APIキーがコードに直書きされていないか、(2).envファイルがGitHubにプッシュされていないか、(3)他のユーザーのデータが見えないか、(4)Supabase RLSが全テーブルで有効か、(5)ログインなしで保護ページにアクセスできないか——の5点です。
AIのあとしまつでは、この診断で発見された問題をすべて解消した上で本番公開まで対応しています。セキュリティ修正・RLS設定・インフラ構築を含めて最短2週間で対応可能です。まず無料相談で現状をお聞かせください。