~/VibeHandbook
PDF miễn phí

Chương 18

Bảo mật dành cho người "vibe coding"

Bảo mật là phần của vibe coding cắn người ta một cách âm thầm. Một tính năng bị hỏng thì lộ ra ngay lập tức — nút bấm không hoạt động, bạn sửa nó. Một lỗ hổng bảo mật thì không bao giờ lộ ra, cho đến ngày ai đó tìm thấy nó và tung dữ liệu người dùng của bạn lên một diễn đàn. Lúc đó, AI đã viết ra lỗi từ lâu rồi biến mất, còn bạn là người phải giải thích với hàng nghìn người vì sao mật khẩu của họ bị rò rỉ.

Chương này không phải để dọa bạn. Bạn không cần trở thành một pentester (người kiểm thử xâm nhập) hay học thuộc lòng OWASP Top 10 để làm ra một ứng dụng nhỏ an toàn. Bạn chỉ cần hiểu một số cách phần mềm bị tấn công, nhận ra các khuôn mẫu mà AI liên tục tạo ra, và thêm một "cổng soát" (review gate) trước khi phát hành. Triết lý vẫn giống phần còn lại của cuốn sách này: đừng bao giờ phát hành thứ bạn không hiểu — và bảo mật là nơi mà việc không hiểu tốn kém nhất.

  1. 18.1Vì sao mã do AI viết mặc định là không an toàn
  2. 18.2Injection: khi đầu vào biến thành mã lệnh
  3. 18.3Secret và API key: cái bẫy lộ khóa
  4. 18.4Authentication và authorization: endpoint mà ai cũng gọi được
  5. 18.5Xử lý file và tải file lên
  6. 18.6Rủi ro phụ thuộc: gói phần mềm mà AI bịa ra
  7. 18.7Cổng soát bảo mật (security review gate)
  8. 18.8Sự tự mãn khi tự động hóa, phiên bản bảo mật
  9. 18.9Tóm tắt và Luyện tập

Muốn bản ngoại tuyến?

Tải trọn cuốn sách dưới dạng PDF hoặc EPUB — miễn phí.