「1行もコードを書いてない」——3日後、150万APIキー漏洩。身に覚えがあった【前編】

faviconZenn
https://zenn.dev/helloworld/articles/5c69b2981d5199
🔒 88
💬 30
先着人気新着➡️
honeybeうわぁ…
2026/02/17 14:10

honeybe

うわぁ…
2026/02/17 14:10🔗 リンク
nguyen-oiバイブコーディングの末路。RLS設定忘れとか基本中の基本だけどAI任せだとこうなる
2026/02/17 14:14★★★

nguyen-oi

バイブコーディングの末路。RLS設定忘れとか基本中の基本だけどAI任せだとこうなる
2026/02/17 14:14🔗 リンク★★★
cartman0なるほど、RLS設定してないからAPIで推測されて誰でもアクセス出来たみたいな話なのか
2026/02/17 14:29

cartman0

なるほど、RLS設定してないからAPIで推測されて誰でもアクセス出来たみたいな話なのか
2026/02/17 14:29🔗 リンク
trace22別に想定されてたことじゃんね。最近流行りの民主化ってこういうことだな。
2026/02/17 15:34

trace22

別に想定されてたことじゃんね。最近流行りの民主化ってこういうことだな。
2026/02/17 15:34🔗 リンク
xanaduuuBaaSでテーブル・コレクションのポリシー設定がゆるゆるパターンかな?AIの場合、とりあえずデータとれるようにゆるゆる設定を指示されそう。結局はその辺りの理解がないと、プロダクションとしてはまだムズイのだろう
2026/02/17 16:39

xanaduuu

BaaSでテーブル・コレクションのポリシー設定がゆるゆるパターンかな?AIの場合、とりあえずデータとれるようにゆるゆる設定を指示されそう。結局はその辺りの理解がないと、プロダクションとしてはまだムズイのだろう
2026/02/17 16:39🔗 リンク
deep_oneRLSという語は知らんが、検索したら「行レベルセキュリティー」の事だった。知ってた。会員情報画面のURLで会員番号部分を書き換えたら他人のデータが見えたみたいなレベルの話なのでは。
2026/02/17 16:53★★★★★★★★

deep_one

RLSという語は知らんが、検索したら「行レベルセキュリティー」の事だった。知ってた。会員情報画面のURLで会員番号部分を書き換えたら他人のデータが見えたみたいなレベルの話なのでは。
2026/02/17 16:53🔗 リンク★★★★★★★★
solidstatesociety禁止になりそう
2026/02/17 16:59

solidstatesociety

禁止になりそう
2026/02/17 16:59🔗 リンク
shagvive coding と superbase で RLS の相性が最悪すぎる
2026/02/17 17:02

shag

vive coding と superbase で RLS の相性が最悪すぎる
2026/02/17 17:02🔗 リンク
ite「150万APIキー」って……損害どのくらいになるんだろ
2026/02/17 17:10

ite

「150万APIキー」って……損害どのくらいになるんだろ
2026/02/17 17:10🔗 リンク
masudaa最近思うけど、これからはより一層深い理解が必要だよね、AIの巧みな言葉を疑ってちゃんとレビューできるか、それが問われる
2026/02/17 17:48★★★★

masudaa

最近思うけど、これからはより一層深い理解が必要だよね、AIの巧みな言葉を疑ってちゃんとレビューできるか、それが問われる
2026/02/17 17:48🔗 リンク★★★★
harumomo2006自分の会社のメールアドレスを検索したらとあるサイト配下のcsvがヒットしたので確認したら全会員情報が掲載されていたことはある。そして気が向いたので珍しく運営に報告したら感謝の返信ではなくなぜかBANされた
2026/02/17 18:31★★★★★★★

harumomo2006

自分の会社のメールアドレスを検索したらとあるサイト配下のcsvがヒットしたので確認したら全会員情報が掲載されていたことはある。そして気が向いたので珍しく運営に報告したら感謝の返信ではなくなぜかBANされた
2026/02/17 18:31🔗 リンク★★★★★★★
doko「技術アーキテクチャのビジョン」とやらが不足してたか間違ってたかでしょ。言語化が足りなかったのでは
2026/02/17 19:10

doko

「技術アーキテクチャのビジョン」とやらが不足してたか間違ってたかでしょ。言語化が足りなかったのでは
2026/02/17 19:10🔗 リンク
bopperjp何を言ってるのかよくわからん。日本語変じゃね?創業者みたいな視点で書いた第三者の文章みたいな良くわからん文体。
2026/02/17 19:11★★★

bopperjp

何を言ってるのかよくわからん。日本語変じゃね?創業者みたいな視点で書いた第三者の文章みたいな良くわからん文体。
2026/02/17 19:11🔗 リンク★★★
nakag0711publicスキーマだとデフォルトでは全開なのかな
2026/02/17 19:12

nakag0711

publicスキーマだとデフォルトでは全開なのかな
2026/02/17 19:12🔗 リンク
Karosuどちらにしても、それなりの技術力を持った人のチェックがないコードはノーガード戦法になるのだろうな
2026/02/17 19:43

Karosu

どちらにしても、それなりの技術力を持った人のチェックがないコードはノーガード戦法になるのだろうな
2026/02/17 19:43🔗 リンク
Falkyうひょ〜w//余談ですが、本邦でDM機能を持つサービスを公開する場合は法規制があります。脆弱性のみならず関係法令についてもしっかりチェックしましょう。きっとこの事業者はそういうのも気にしてないだろうね!
2026/02/17 20:02★★

Falky

うひょ〜w//余談ですが、本邦でDM機能を持つサービスを公開する場合は法規制があります。脆弱性のみならず関係法令についてもしっかりチェックしましょう。きっとこの事業者はそういうのも気にしてないだろうね!
2026/02/17 20:02🔗 リンク★★
yto無免許運転みたいなもんだな
2026/02/17 20:39

yto

無免許運転みたいなもんだな
2026/02/17 20:39🔗 リンク
peketaminWebセキュリティプラクティスのスキルとそのテストのスキルがあれば今後は起きなくなる話なのかな
2026/02/17 21:29

peketamin

Webセキュリティプラクティスのスキルとそのテストのスキルがあれば今後は起きなくなる話なのかな
2026/02/17 21:29🔗 リンク
sisya少々AIに夢を見すぎな状況だなと思う。「ボタン一つで簡単にドリンクが生成できる。味もそっくり」と持て囃すも、成分チェックをせず微細に含まれた鉛を摂取し続けているような状態。それが一部ユーザのコーディング
2026/02/17 21:36★★★★★★★★

sisya

少々AIに夢を見すぎな状況だなと思う。「ボタン一つで簡単にドリンクが生成できる。味もそっくり」と持て囃すも、成分チェックをせず微細に含まれた鉛を摂取し続けているような状態。それが一部ユーザのコーディング
2026/02/17 21:36🔗 リンク★★★★★★★★
houyhnhm?DBがズルムケなのか。そりゃRLS必須だろうな。壊してくれたから気付け手良かったね。
2026/02/17 21:38

houyhnhm

?DBがズルムケなのか。そりゃRLS必須だろうな。壊してくれたから気付け手良かったね。
2026/02/17 21:38🔗 リンク