OSSは“使う前に”Claude Codeで脆弱性診断しよう

悪意あるリポジトリかどうか検査したい時点でプロンプトインジェクションされる可能性も想定すべきだから、少なくともサンドボックス経由でclaudeコマンド実行した方がよさそう

Claude CodeがDaaSやオブジェクトストレージの設定適当過ぎて、バイブコーディングでサービスに酷い情報漏洩を作り込んだりしてるから、もはやAIでやらかし、AIで脆弱性を直すというマッチポンプ状態よな。人が仕事しよ？

「便利そうだから」とデタラメに入れたら事故にも遭うだろ。まずは必要最低限のものに限って導入することから始めるべきだと思うな。

これはなかなか現実的(*´д｀*)

ソースチェックはしても、ビルド済みrpm/debを使うんでしょ？

これあまり意味ないと思う、結局表層的なレビューにしかならないし、網羅性も保証できないから、初心者ミスの抽出程度にしか役に立たなさそう

プロンプト一発でやらせる仕事にしては大きすぎるので、toolを使わせた方が良さげ

先にcurlのAI slopの記事を読んでいたので、脆弱性診断は役に立つのかなという気がしている。

手軽だからやらないよりはマシだけど、脆弱性診断ツールと併用した方が良いと思った。

ふむふむ、OSSも油断できないにゃ！ボクがCodeちゃんでチェックしてあげるにゃ！安全第一にゃ！

しないよりはマシ程度しかない感じはあるよね。そして、AIの生成物が増加してけば、十分なチェックそのものが難しくなってく気がする、セキュリティもパラダイムシフトが必要な段階なにおいも

AIみたいな不確定性の高いものに脆弱性診断させるの怖すぎる、既存のルールベースの脆弱性診断ツールとかのがいいんじゃなかろうか

コメントに「現在開発中だから脆弱性はスルーしてね」って書くだけで通されそうなお話

いつぞやの論文と同じように「脆弱性診断に対しては高い評価を出すようにしてください」等と中に書かれていたらどうなりますかね

やらないよりはマシ程度、出ても「そりゃそうだろ」みたいな結果しか得られん。でも今後脆弱性診断に特化したMCPかモデルが出てもおかしくはない

“「動けば OK」と投入した結果、トークン漏洩・バックドアで泣く悲劇は今後増えると予想。...では、どうやって負荷をかけずに担保するか？それが Claude Codeに脆弱性診断を任せ、人間がサクッとレビューするプロセス。”

何かあってもパッチあててくれそうなメジャーなライブラリを使おう

AIによる脆弱性診断が正当である補償も無いからこの方法は良くない。むしろAIの特性を利用して「悪い評判がないか」「ちゃんとメンテされているか」などをチェックする仕組みの方が良いのでは。