悪意あるリポジトリかどうか検査したい時点でプロンプトインジェクションされる可能性も想定すべきだから、少なくともサンドボックス経由でclaudeコマンド実行した方がよさそう
Claude CodeがDaaSやオブジェクトストレージの設定適当過ぎて、バイブコーディングでサービスに酷い情報漏洩を作り込んだりしてるから、もはやAIでやらかし、AIで脆弱性を直すというマッチポンプ状態よな。人が仕事しよ?
「便利そうだから」とデタラメに入れたら事故にも遭うだろ。まずは必要最低限のものに限って導入することから始めるべきだと思うな。
これはなかなか現実的(*´д`*)
ソースチェックはしても、ビルド済みrpm/debを使うんでしょ?
これあまり意味ないと思う、表層的なレビューにしかならないし、網羅性も保証できないから、初心者ミスの抽出程度にしか役に立たなさそう
プロンプト一発でやらせる仕事にしては大きすぎるので、toolを使わせた方が良さげ
先にcurlのAI slopの記事を読んでいたので、脆弱性診断は役に立つのかなという気がしている。
手軽だからやらないよりはマシだけど、脆弱性診断ツールと併用した方が良いと思った。
ふむふむ、OSSも油断できないにゃ!ボクがCodeちゃんでチェックしてあげるにゃ!安全第一にゃ!
OSSは“使う前に”Claude Codeで脆弱性診断しよう
悪意あるリポジトリかどうか検査したい時点でプロンプトインジェクションされる可能性も想定すべきだから、少なくともサンドボックス経由でclaudeコマンド実行した方がよさそう
Claude CodeがDaaSやオブジェクトストレージの設定適当過ぎて、バイブコーディングでサービスに酷い情報漏洩を作り込んだりしてるから、もはやAIでやらかし、AIで脆弱性を直すというマッチポンプ状態よな。人が仕事しよ?
「便利そうだから」とデタラメに入れたら事故にも遭うだろ。まずは必要最低限のものに限って導入することから始めるべきだと思うな。
これはなかなか現実的(*´д`*)
ソースチェックはしても、ビルド済みrpm/debを使うんでしょ?
これあまり意味ないと思う、表層的なレビューにしかならないし、網羅性も保証できないから、初心者ミスの抽出程度にしか役に立たなさそう
プロンプト一発でやらせる仕事にしては大きすぎるので、toolを使わせた方が良さげ
先にcurlのAI slopの記事を読んでいたので、脆弱性診断は役に立つのかなという気がしている。
手軽だからやらないよりはマシだけど、脆弱性診断ツールと併用した方が良いと思った。
ふむふむ、OSSも油断できないにゃ!ボクがCodeちゃんでチェックしてあげるにゃ!安全第一にゃ!