~/VibeHandbook
$39
本を読むリファレンス理念PDFを入手よくある質問

18 · 08

自動化への慢心、セキュリティ編

最も危険な瞬間は初日ではない——90日目だ。初日のあなたは慎重で、すべてのdiffを読み、攻撃者プロンプトを実行し、アップロードハンドラをチェックする。やがて100の変更が出荷されても何も悪いことは起きず、チェックが儀式のように感じられ始める。小さな変更で「今回だけ」とレビューゲートを飛ばす。その小さな変更は、認可チェックのないエンドポイントを追加する。しばらくは何も起きない——何も起きないことこそ、内側から見たセキュリティの穴の姿そのものだからだ。

これは自動化への慢心がセキュリティに向けられたもので、ここでは他のどこよりもたちが悪い。セキュリティの失敗は静かで、遅れてやってくるからだ。壊れた機能は数分であなたを罰する。壊れた権限チェックは、侵害が起きるその瞬間まで、見かけ上の成功であなたに報いる。災害が起きないことは安全の証拠ではない——それは、まだ見つかっていないだけの脆弱なアプリの、通常の状態にすぎない。

防御策は、ゲートを飛ばさないくらい安価にし、飛ばせないくらい自動にすることだ。シークレットスキャンと audit をCIに置いて、あなたの記憶に頼らず走るようにし、攻撃者プロンプトを、auth・データ・アップロードに触れるものすべてに対していつでも使えるようにしておく。1本の線を守ること。ユーザーデータや権限を扱う変更は、誰か——AIの正直な助けを借りたあなた——が能動的にそれを破ろうとするまで、出荷しない。バイブコーディングにおけるスピードは、良いゲートから生まれるのであって、静けさが万事順調を意味すると信じることから生まれるのではない。

オフラインでも読みたい?

PDF + EPUB + ダウンロード可能なプロンプトライブラリ + バージョンアップデートを入手しよう。

$ PDFを入手 — $39