2025/08/14 掲載

爆速開発AI「バイブコーディング」が怖すぎるワケ、見落とし注意の“ある欠陥”とは

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

AI・生成AI

|

タグをもっとみる

AI技術の進化が、プログラミングの世界を急速に変革している中、「バイブコーディング」と呼ばれる、AIエージェントを活用した自動プログラミング手法が注目を集めている。日本語など自然言語でアイデアを伝えるだけで、コードが生成されサービスやアプリが出来上がる。プログラミング知識がなくても、誰でもアプリやWebサービスを素早く作れる点が魅力だ。その一方、バイブコーディングには、注意するべきリスクが存在することが明らかになっており、公開されたプラットフォームで深刻な脆弱性が見つかる事態も起きている。バイブコーディングのリスクについて解説する。

執筆：根岸智幸

根岸智幸

1963年生まれ。Webコンサルタント、プロデューサー、編集者、ライター、エンジニア。90年代のIT雑誌を皮切りにWebクチコミサイト、SNS、電子書籍出版システム、ニュースメディアのグロースなどで、時代を先取りしてきた。

バイブコーディングの知られざるリスクについて解説する

（Photo/Shutterstock.com）

バイブコーディングに潜む「構造的リスク」

　多くのメリットがあるバイブコーディングだが、その一方で、セキュリティ上のリスクが問題となっている。AIはコードの生成は速いが、安全面で不十分な場合がある。結果、個人情報漏洩やアカウント乗っ取りが発生する。特に、バイブコーディングでよく使われるNext.jsとSupabaseの組み合わせが問題となりやすい。

　Next.jsは、Webアプリを簡単に作る仕組みで、ユーザー画面とサーバ処理を扱う。一方、Supabaseは、クラウド上のデータベースサービスで、認証やストレージを提供する。これらを組み合わせるとWebアプリが簡単に作れる。このときブラウザから直接データベースにアクセスさせると構造が簡単になるため、開発速度が速くなる。

　しかし、この直アクセスが危険だ。利用サービス毎に発行される公開キーを使ってデータベースに問い合わせを送るが、このキーはWebブラウザ標準の開発用機能で盗み取れる。盗まれたキーで、他人のデータが引き出されるリスクがある。

Webアプリケーションは、ユーザーのPC（Webブラウザ）で動作する「フロントエンド」と、Webブラウザにコンテンツや機能を提供する「バックエンド」（サーバ）、データを蓄積する「データベース」の3層構造になっているのが一般的。フロントエンドから直接データベースにアクセスする方が仕組みは簡単で作りやすいが、悪意のある攻撃には弱い

（著者作成）

　ここで重要なのがRLS（Row Level Security＝行単位セキュリティ）だ。Superbaseのようなデータベースは表形式でデータを管理している。つまり、1件ずつのデータはExcelと同じように「行」になっている。RLSは、データベースの各データ行に「誰が読み書きして良いか」というアクセス制限をかける仕組みだ。バイブコーディング（AIに任せる開発）では、このRLS設定が十分に行われてないケースがある。

　RLSの設定が甘いと、全ユーザーの情報が漏えいする。X上で、こうした事例が複数あると報告されており、問題のあるWebサービスを検知するためのツールも登場している。

バイブコーディングでWebアプリのデータベースとしてよく使われる「Superbase」は「RLS（Row Level Security＝行単位のセキュリティ）機能を持つが、初心者がAIに完全に頼って設定を怠ると、攻撃者は簡単に全データにアクセスできてしまう

（著者作成）

　RLSはプロのプログラマにとっても複雑で、複数のデータ結合が入るとミスが生じやすいという。ましてや、初心者がAIに頼り切って開発するバイブコーディングでは、セキュリティホールは発生して当然だ。しかしビジネス面では、システムの脆弱性が後から発覚すると大きなダメージになりかねないし、利用側にとってもリスクが大きすぎる。【次ページ】バイブコーディングのリスクが顕在化した「あの事例」