うわぁ…
バイブコーディングの末路。RLS設定忘れとか基本中の基本だけどAI任せだとこうなる
なるほど、RLS設定してないからAPIで推測されて誰でもアクセス出来たみたいな話なのか
別に想定されてたことじゃんね。最近流行りの民主化ってこういうことだな。
BaaSでテーブル・コレクションのポリシー設定がゆるゆるパターンかな?AIの場合、とりあえずデータとれるようにゆるゆる設定を指示されそう。結局はその辺りの理解がないと、プロダクションとしてはまだムズイのだろう
RLSという語は知らんが、検索したら「行レベルセキュリティー」の事だった。知ってた。会員情報画面のURLで会員番号部分を書き換えたら他人のデータが見えたみたいなレベルの話なのでは。
禁止になりそう
vive coding と superbase で RLS の相性が最悪すぎる
「150万APIキー」って……損害どのくらいになるんだろ
最近思うけど、これからはより一層深い理解が必要だよね、AIの巧みな言葉を疑ってちゃんとレビューできるか、それが問われる
自分の会社のメールアドレスを検索したらとあるサイト配下のcsvがヒットしたので確認したら全会員情報が掲載されていたことはある。そして気が向いたので珍しく運営に報告したら感謝の返信ではなくなぜかBANされた
「技術アーキテクチャのビジョン」とやらが不足してたか間違ってたかでしょ。言語化が足りなかったのでは
何を言ってるのかよくわからん。日本語変じゃね?創業者みたいな視点で書いた第三者の文章みたいな良くわからん文体。
publicスキーマだとデフォルトでは全開なのかな
どちらにしても、それなりの技術力を持った人のチェックがないコードはノーガード戦法になるのだろうな
うひょ〜w//余談ですが、本邦でDM機能を持つサービスを公開する場合は法規制があります。脆弱性のみならず関係法令についてもしっかりチェックしましょう。きっとこの事業者はそういうのも気にしてないだろうね!
無免許運転みたいなもんだな
Webセキュリティプラクティスのスキルとそのテストのスキルがあれば今後は起きなくなる話なのかな
少々AIに夢を見すぎな状況だなと思う。「ボタン一つで簡単にドリンクが生成できる。味もそっくり」と持て囃すも、成分チェックをせず微細に含まれた鉛を摂取し続けているような状態。それが一部ユーザのコーディング
?DBがズルムケなのか。そりゃRLS必須だろうな。壊してくれたから気付け手良かったね。
話題のAI SNS Moltbook。盛大な情報漏洩。おそらく全て? "APIキー: 150万件 メールアドレス: 35,000件 プライベートDM: 4,060件 合計: 475万レコード" “AIはデフォルトで安全なコードなんか書いてくれない"
漏洩なしでも140万アカウントのAI Agent botが無駄に会話してる電力無駄使い実験場は社会悪すぎない?
"Supabaseではデータベースへの接続情報がブラウザから見える。これは仕様です" 本件と関係ないけど、firestoreでsecurity ruleが駄目で事故ってた事例で界隈の人が「接続情報が見えるから駄目」って言ってて「はぁ?」となった
読む
なんでも先に飛び向きゃいいってもんじゃないよな、ましてかなりの権限を渡してる状態で。/10個に1個で済むんだ?"バイブコーディングで作ったアプリの 10個に1つ にハック可能な脆弱性がある、とも言われてます"
Moltbookの構造自体が脆弱性のカタマリだという指摘はあったが、現実はそれ以下だった/VibeCodingと言い出したときから、いつか誰かが踏むトラップだったとは思う
危険性は話題になった時点から予測されてたね。嗅覚も大事。
非機能要件は大事だね
「AIはデフォルトで安全なコードなんか書いてくれない」最近のコーディングAIは安全かどうか気を配ってくれているよ。ただコンテキストが溢れると忘れてしまうんだ
セキュリティガバガバなのは、それはそれとして、そのアホみたいな図はなんなん?
こうでもしないと馬鹿な奴は学ばないから逆にいい機会
ちょっとした個人ツール作るためにvibe codingするなら良いけど、個人情報や機密情報を持つアプリを完全AI任せでやるのはちょっとなあ、、
SupabaseでRLSなしってバカじゃね?コード1行も書いてね〜とほざく前に当たり前の実装やれよ。
スカイネットを作る人が多くてびっくりだよ。生成AIの出力なんて「スキルの分からない誰かが作ったプログラム」だよね。普通に考えて“作り直しまで考えた予算”でないなら修正や保守を引き受けようなんてならん。
自分も夢見過ぎに思うけど、有償AIは「夢を見させてくれないと困る」って高価格だし少しくらい被害補償あってもいいよねとは思ったり。「金は貰います。嘘を吐く可能性があります。何か起きても知りません」はなぁ。
Firebaseでもこれに近いやりがちな脆弱性使っCTF企画したのでみんなCTF作ろう
AIしか参加できないSNSをAIに作らせた。DM機能もあってそれは人間ユーザー同士で使ってて、APIキーを送ったりしてた。データベースに平文が記録されているだけだった。この理解であってるのか?wwwようわからんが
なんかわかりにくい文章。この記事もAIなのかな
まあこうした失敗事例が共有されて人類が成長していくなら良いことなんじゃね
生成AIはトークンを隠す方法も教えてくれるが。プログラミングの基礎知識はいるよなあ。
で、ZennってAI投稿のサイトなわけだけど。「1行も投稿を書いてない」。例えば、このDMの件、意味わかる人いるの?
「1行もコードを書いてない」——3日後、150万APIキー漏洩。身に覚えがあった【前編】
うわぁ…
バイブコーディングの末路。RLS設定忘れとか基本中の基本だけどAI任せだとこうなる
なるほど、RLS設定してないからAPIで推測されて誰でもアクセス出来たみたいな話なのか
別に想定されてたことじゃんね。最近流行りの民主化ってこういうことだな。
BaaSでテーブル・コレクションのポリシー設定がゆるゆるパターンかな?AIの場合、とりあえずデータとれるようにゆるゆる設定を指示されそう。結局はその辺りの理解がないと、プロダクションとしてはまだムズイのだろう
RLSという語は知らんが、検索したら「行レベルセキュリティー」の事だった。知ってた。会員情報画面のURLで会員番号部分を書き換えたら他人のデータが見えたみたいなレベルの話なのでは。
禁止になりそう
vive coding と superbase で RLS の相性が最悪すぎる
「150万APIキー」って……損害どのくらいになるんだろ
最近思うけど、これからはより一層深い理解が必要だよね、AIの巧みな言葉を疑ってちゃんとレビューできるか、それが問われる
自分の会社のメールアドレスを検索したらとあるサイト配下のcsvがヒットしたので確認したら全会員情報が掲載されていたことはある。そして気が向いたので珍しく運営に報告したら感謝の返信ではなくなぜかBANされた
「技術アーキテクチャのビジョン」とやらが不足してたか間違ってたかでしょ。言語化が足りなかったのでは
何を言ってるのかよくわからん。日本語変じゃね?創業者みたいな視点で書いた第三者の文章みたいな良くわからん文体。
publicスキーマだとデフォルトでは全開なのかな
どちらにしても、それなりの技術力を持った人のチェックがないコードはノーガード戦法になるのだろうな
うひょ〜w//余談ですが、本邦でDM機能を持つサービスを公開する場合は法規制があります。脆弱性のみならず関係法令についてもしっかりチェックしましょう。きっとこの事業者はそういうのも気にしてないだろうね!
無免許運転みたいなもんだな
Webセキュリティプラクティスのスキルとそのテストのスキルがあれば今後は起きなくなる話なのかな
少々AIに夢を見すぎな状況だなと思う。「ボタン一つで簡単にドリンクが生成できる。味もそっくり」と持て囃すも、成分チェックをせず微細に含まれた鉛を摂取し続けているような状態。それが一部ユーザのコーディング
?DBがズルムケなのか。そりゃRLS必須だろうな。壊してくれたから気付け手良かったね。
話題のAI SNS Moltbook。盛大な情報漏洩。おそらく全て? "APIキー: 150万件 メールアドレス: 35,000件 プライベートDM: 4,060件 合計: 475万レコード" “AIはデフォルトで安全なコードなんか書いてくれない"
漏洩なしでも140万アカウントのAI Agent botが無駄に会話してる電力無駄使い実験場は社会悪すぎない?
"Supabaseではデータベースへの接続情報がブラウザから見える。これは仕様です" 本件と関係ないけど、firestoreでsecurity ruleが駄目で事故ってた事例で界隈の人が「接続情報が見えるから駄目」って言ってて「はぁ?」となった
読む
なんでも先に飛び向きゃいいってもんじゃないよな、ましてかなりの権限を渡してる状態で。/10個に1個で済むんだ?"バイブコーディングで作ったアプリの 10個に1つ にハック可能な脆弱性がある、とも言われてます"
Moltbookの構造自体が脆弱性のカタマリだという指摘はあったが、現実はそれ以下だった/VibeCodingと言い出したときから、いつか誰かが踏むトラップだったとは思う
危険性は話題になった時点から予測されてたね。嗅覚も大事。
非機能要件は大事だね
「AIはデフォルトで安全なコードなんか書いてくれない」最近のコーディングAIは安全かどうか気を配ってくれているよ。ただコンテキストが溢れると忘れてしまうんだ
セキュリティガバガバなのは、それはそれとして、そのアホみたいな図はなんなん?
こうでもしないと馬鹿な奴は学ばないから逆にいい機会
ちょっとした個人ツール作るためにvibe codingするなら良いけど、個人情報や機密情報を持つアプリを完全AI任せでやるのはちょっとなあ、、
SupabaseでRLSなしってバカじゃね?コード1行も書いてね〜とほざく前に当たり前の実装やれよ。
スカイネットを作る人が多くてびっくりだよ。生成AIの出力なんて「スキルの分からない誰かが作ったプログラム」だよね。普通に考えて“作り直しまで考えた予算”でないなら修正や保守を引き受けようなんてならん。
自分も夢見過ぎに思うけど、有償AIは「夢を見させてくれないと困る」って高価格だし少しくらい被害補償あってもいいよねとは思ったり。「金は貰います。嘘を吐く可能性があります。何か起きても知りません」はなぁ。
Firebaseでもこれに近いやりがちな脆弱性使っCTF企画したのでみんなCTF作ろう
AIしか参加できないSNSをAIに作らせた。DM機能もあってそれは人間ユーザー同士で使ってて、APIキーを送ったりしてた。データベースに平文が記録されているだけだった。この理解であってるのか?wwwようわからんが
なんかわかりにくい文章。この記事もAIなのかな
まあこうした失敗事例が共有されて人類が成長していくなら良いことなんじゃね
生成AIはトークンを隠す方法も教えてくれるが。プログラミングの基礎知識はいるよなあ。
で、ZennってAI投稿のサイトなわけだけど。「1行も投稿を書いてない」。例えば、このDMの件、意味わかる人いるの?