Vibe Audit — バイブコーディング セキュリティ診断

URLを入力するだけで、バイブコーディング(AI生成コード)に潜むセキュリティリスクを自動検出します。

ご自身が管理するサイト専用のセキュリティチェックツールです。スキャン結果は保存されません。

URLを入力してセキュリティスキャンを開始

Supabase/Firebase露出APIキー漏洩ソースマップセキュリティヘッダーCORS設定HTTPS

バイブコーディングのセキュリティリスクとは

バイブコーディング(vibe coding)とは、Cursor、Claude Code、Bolt、v0 などのAIコーディングツールを使い、自然言語の指示だけでアプリケーションを構築する開発手法です。 プログラミング経験の少ないユーザーでも短時間でアプリを作れる一方で、 AIが生成したコードにはセキュリティ上の問題が潜んでいることがあります。

特に Supabase や Firebase などの BaaS(Backend as a Service)を使う場合、 認証・認可の設定ミスがデータ漏洩に直結します。AI はコードを書けても、 セキュリティの全体像を把握して最適な設定を提案するとは限りません。 Vibe Audit は、こうしたリスクを外部スキャンで自動検出するツールです。

検査項目

カテゴリチェック内容重要度
BaaS 露出Supabase URL・anon key・service_role key の検出Critical
BaaS 露出Firebase config(apiKey, projectId 等)の検出Critical
機密情報Stripe・AWS・GitHub・OpenAI キーの検出Critical
ソースマップ.map ファイル参照・インラインソースマップの検出High
セキュリティヘッダーHSTS・X-Content-Type-Options・X-Frame-OptionsMedium
CORSワイルドカード CORS 設定の検出Medium
HTTPSHTTP → HTTPS リダイレクトの確認High

スコアの見方

検出されたリスクの重要度に応じて減点し、100点満点のスコアを算出します。

  • Critical: -20点(Supabase/Firebase 露出、シークレットキー漏洩)
  • High: -10点(ソースマップ露出、HTTPS 未設定)
  • Medium: -5点(セキュリティヘッダー欠如、CORS 設定)
  • Low: -2点(軽微な設定の問題)

このツールの使い方

  • チェックしたいサイトのURLを入力し、同意チェックボックスにチェックを入れて「スキャン」ボタンを押します
  • HTMLソースが自動取得され、セキュリティリスクが検査されます
  • 検出された問題にはファイルパスと修正コード例が表示されます
  • 修正コードをコピーして、Claude Code や Cursor に「これを修正して」と指示できます

活用シーン

  • AI でアプリを作った直後: Cursor・Bolt・v0 で作ったアプリの公開前チェック
  • Supabase プロジェクトの確認: RLS が効いているか、anon key が露出していないか
  • フリーランスの納品前: クライアントに納品するサイトのセキュリティ状態を確認
  • 個人開発のセキュリティ監査: 定期的にセキュリティ状態をチェックし、問題を早期発見

AI生成コードでよくあるセキュリティ問題

バイブコーディングでアプリを構築する際、AIは動くコードを素早く生成しますが、 セキュリティ面では以下のような問題が頻出します。

  • 環境変数のハードコード: SupabaseのURLやanon keyが .env ではなくソースコードに直接記述される
  • service_role keyのフロントエンド露出: 管理者権限のキーがブラウザから見えるJavaScriptに含まれてしまう
  • ソースマップの本番公開: ビルド設定が開発環境のまま、元のソースコードが公開されてしまう
  • セキュリティヘッダーの未設定: HSTS や CSP など、Webアプリに必須のHTTPヘッダーが欠如する

他のセキュリティツールとの違い

ZERONOVA LABではセキュリティヘッダーチェッカーSEO一括監査ツールも提供しています。 Vibe Audit はこれらとは異なり、バイブコーディング特有のリスク(BaaS接続情報の露出、AIが生成しがちなハードコードされたAPIキー)に特化しています。

セキュリティヘッダーの詳細な検査はセキュリティヘッダーチェッカーで、 サイト全体のSEO品質はSEO一括監査ツールで確認してください。 公開前の総合チェックにはWebサイト公開前チェックリストも活用できます。

ツールの仕様・制限事項

  • 指定URLにHTTPリクエストを送り、HTMLソースとレスポンスヘッダーを解析します
  • 外部からのスキャンのみを行います。内部のコード構造(RLS ポリシーの内容、APIルートの認証ロジック等)は検査できません
  • リダイレクトは最大5回まで追従します
  • レスポンスのタイムアウトは10秒です
  • HTMLソースの読み取りは最大1MBまでです
  • 入力されたURLの情報はサーバーに保存されません
  • すべてのセキュリティリスクを検出できるわけではありません

このツールが役に立ったらシェアしてください

Share:

ご意見・ご要望をお聞かせください

機能追加を求む!不具合を見つけた!

Powered by IdeaSpool

関連記事

Journal

個人開発でもやるべきセキュリティ監査チェックリスト

Journal

Supabase RLS の設計パターン — デフォルト拒否で安全に

Journal

Next.js APIルートのSSRF対策 — redirect: manual とホップ毎検証の実装

Focus Blog

Webサイト公開前に確認すべき10のチェックポイント

Focus Blog

Web制作者のためのSEO・サイト検査ツール18選完全ガイド

Focus Blog

フリーランスのアカウント管理 — 安全なパスワードの作り方

よくある質問

Q. Vibe Audit(バイブオーディット)とは何ですか?
Vibe Auditは、バイブコーディング(AI生成コード)で構築されたWebアプリケーションのセキュリティリスクを自動検出する無料ツールです。URLを入力するだけで、Supabase・Firebaseの接続情報露出、ソースマップ公開、セキュリティヘッダーの欠如、Stripe・AWS・OpenAIなどの機密APIキーの漏洩を検査し、修正コード付きのレポートを生成します。
Q. バイブコーディング(vibe coding)とは何ですか?
バイブコーディングとは、Cursor、Claude Code、Bolt、v0などのAIコーディングツールを使い、自然言語の指示だけでアプリケーションを構築する開発手法です。プログラミング経験が少なくてもWebアプリを作れる一方、AIが生成したコードにはセキュリティ上の問題(環境変数のハードコード、認証設定の不備等)が含まれることがあり、公開前の検査が重要です。
Q. どのようなセキュリティリスクを検出できますか?
Supabase(URL・anon key・service_role key)とFirebase(apiKey・projectId)の接続情報露出、Stripe・AWS・GitHub・OpenAIのシークレットキー漏洩、ソースマップファイルの公開、セキュリティヘッダー(HSTS・X-Content-Type-Options・X-Frame-Options)の欠如、CORSワイルドカード設定、HTTPSリダイレクト未設定を検出します。検出された問題には修正コード例が提示されます。
Q. Supabaseのanon keyが検出されたらどうすればいいですか?
Supabaseのanon keyはフロントエンドで使用するための公開キーであり、RLS(Row Level Security)が正しく設定されていれば露出自体は問題ありません。ただし、service_role keyが検出された場合は即座に無効化・再生成が必要です。Vibe Auditはanon keyの露出をInfoレベル、service_role keyの露出をCriticalレベルとして区別して報告します。
Q. スキャン結果はサーバーに保存されますか?
いいえ、スキャン結果はサーバーに一切保存されません。URLのHTMLソースを取得して解析し、結果をブラウザに返却した後、データはすべて破棄されます。検出されたAPIキーなどの機密情報もマスク処理(先頭/末尾の一部のみ表示)を行っており、安全に利用できます。
Q. Cursor・Bolt・v0で作ったアプリにも使えますか?
はい、どのAIコーディングツールで作ったアプリにも使えます。Cursor、Bolt、v0、Replit Agent、GitHub Copilot Workspaceなど、ツールを問わず公開URLがあればスキャンできます。特にSupabaseやFirebaseを使ったアプリでは、接続情報の露出チェックが有効です。
Q. セキュリティヘッダーチェッカーとの違いは何ですか?
セキュリティヘッダーチェッカーはHTTPレスポンスヘッダー(HSTS・CSP・X-Frame-Options等)の設定状況を詳細に検査するツールです。Vibe Auditはヘッダー検査に加えて、BaaS接続情報の露出・ソースマップ公開・APIキー漏洩など、バイブコーディング特有のリスクを包括的に検査します。ヘッダーの詳細分析にはセキュリティヘッダーチェッカーを併用してください。
Q. スコアが100点でもセキュリティは万全ですか?
Vibe Auditは外部からのスキャンで検出可能なリスクのみを検査しています。スコアが100点でも、RLSポリシーの内容、APIルートの認証ロジック、データベースの権限設定など内部のセキュリティは別途確認が必要です。外部スキャンでの基本チェックとして活用し、必要に応じて内部監査も実施してください。

関連ツール

SEO

セキュリティヘッダーチェッカー

SEO

SEO一括監査ツール

SEO

Webサイト公開前チェックリスト

セキュリティ

パスワードジェネレーター

コード・変換

ハッシュジェネレーター

SEO

リンク切れチェッカー

開発者

Zeronova avatar

Zeronovaゼロノバ

Product Manager / AI-Native Builder

19年以上のWeb/IT業界経験を持つPdMが、現場で本当に使えるツールを開発。登録不要・ブラウザだけで動作する無料ツールを93種類以上公開中。

@zeronova_labプロフィール →