Подборка по задаче

Безопасность вайбкодинга: чек-лист и промпты

Вайбкодинг ускоряет разработку, но AI может сгенерировать небезопасный код, лишние доступы, слабую авторизацию или утечку секретов. Эта подборка помогает использовать AI-разработку аккуратнее: проверять код, зависимости, API, логи и доступы.

1. Проверить архитектуру и границы доступа

До генерации кода опишите роли пользователей, права доступа, критичные операции, API, вебхуки и данные, которые нельзя раскрывать. Для AI-проектов отдельно проверьте AI Guardrails и AI Access Control.

2. Защитить входы и админки

Проверьте 2FA, авторизацию, сброс пароля, лимиты попыток входа, защиту от фишинга, WAF и firewall.

3. Проверить код на типовые уязвимости

AI-код нужно проверять на SQL-инъекции, XSS, CSRF, небезопасную загрузку файлов, открытые редиректы, утечку токенов, слабую валидацию и лишнее логирование персональных данных.

Промпт для проверки безопасности кода

Проверь этот код как security reviewer. Найди риски авторизации, XSS, SQL injection, CSRF, SSRF, небезопасной загрузки файлов, утечки секретов, слабой валидации, чрезмерного логирования и ошибок прав доступа. Для каждого риска дай: уровень критичности, где проблема, почему это опасно, как исправить и пример безопасного кода.

Промпт для проверки API и вебхуков

Проверь API/webhook как backend security engineer. Особое внимание: подпись запросов, replay attack, rate limit, проверка источника, права доступа, обработка ошибок, логирование, хранение токенов, валидация входных данных и безопасные ответы клиенту.

Мини-чеклист перед деплоем

  1. Секреты не лежат в коде и репозитории.
  2. Авторизация и права доступа проверены вручную.
  3. Ошибки не раскрывают токены, пути, SQL и персональные данные.
  4. Есть резервная копия, rollback и логи.
  5. Код прошёл ревью человеком, а не только AI.

Автор

Артур Технарь
Артур Технарь
Digital-специалист, автор Artur Tehnar

Пишу простые объяснения по SEO, маркетингу, ИИ, разработке и цифровым инструментам для бизнеса.

Telegram: @Arturtehnar