公開したアプリのセキュリティ、考えてませんでした。security-reviewを回したら穴が1つ
自分が作ったアプリが、知らないうちに誰かの情報を漏らす入り口になる…そんなこと、考えたこともなかったんです。
作って動いたら、すぐ公開。
セキュリティのことなんて、1ミリも考えていませんでした。
こんにちは、ちーみつです。
先日、海外のニュースでバイブコーディングのセキュリティ問題を読んで、ふと自分が応募したアプリを思い出しました。
Read this before you vibe-code another app
正直、セキュリティのことは全く意識していませんでした。
今回は、初めてセキュリティチェックを回してみたら何が起きたか、という話です。
公開してから、ゾッとしました
少し前に、お悩み解決サイト選手権にウェブアプリを応募したんです。
複数のポッドキャストのプラットフォームを横断して検索・フォローできて、エピソードが1つのフィードに流れてくる…そんなページです。
Claude CodeとChatGPTで作りました。
作っているときは、ちゃんと動くかどうかで頭がいっぱいで。
そもそも、このアプリにセキュリティなんて関係ない、と思っていたんです。
そんなとき、海外のニュースでこんな記事を見つけました。
AIに頼って作ったアプリの多くが、気づかないうちにユーザーのデータを漏らしている、という内容です。
誰でも見られる状態のアプリが何千件も見つかって、その中には個人情報や仕事の中身がそのまま見えてしまうものもあったそうです。
記事の中に、私とそっくりな人がいました。
自分で作ったサイトをすぐ公開して、何ヶ月もたってから穴が空いていたと気づいた人です。
完全に盲点だった、と書いていて…これ、まさに今の私だ、と思いました。
/security-review を初めて回してみた
それで、Claude Code に /security-review というコマンドがあることを、今回初めて知りました。
コードの危ない箇所を探してくれるものです。
さっそく回そうとしたら…いきなりエラーで動かなかったんです。
調べてみたら、コードを比較するときの基準になる目印が作られていないのが原因でした。
そして回してみたら、1箇所、直したほうがいい場所が見つかりました。
Podcastアプリから抜かれる情報なんてないと思ってましたが、詳しく聞くとそれが間違いだと気づきました。
詳細はそのまま書くと悪用されるかもしれないので伏せますが、その1箇所を直すだけで対策できました。
たった1箇所。でも過信はしないでおく
セキュリティって、難しくて大変なものだと思い込んでいました。
でも実際にやってみたら、たった1箇所の修正でレベルが上がったんです。
身構えていたわりに、最初の一歩はずいぶん小さかった…という感じでした。
ただ、これで完璧になった、とは思わないことにしました。
さっきの記事にも、AIのチェックを過信しないように、と書いてあったんです。
AIは、こちらが何を守りたいのかまでは分かっていない。
だから出てきた結果を鵜呑みにせず、自分でも一度考える。
そこだけは手放さないでおこう、と思いました。
最後に
もし今、AIで作ったアプリを公開している方がいたら。
自分のパソコンの中だけで動かすのと、ネットに公開するのとでは、まったく話が変わります。
特に、自分以外の誰かのデータを扱うものなら、公開する前に一度チェックを回してみるといいかもしれません。
皆さんは、作ったものを世に出すとき、漏れたら困るデータが入っていないか、確認していますか?
最後まで読んでいただきありがとうございます。
今回みたいに、知らなかったことを調べて試した記録を、メルマガでも配信しています。
登録特典つきの無料メルマガを配信しています。
AIを毎日試して、やった・やめた・変えた記録が届きます。
不定期ですが、記事に実際に使った・作ったプロンプトなどを追記して配信することがあります。


