Saya penasaran apakah aplikasi yang dibuat dengan vibe coding bisa diretas, jadi saya memindainya sendiri
(vibesafe.onrender.com)Saya bukan lulusan jurusan terkait, tetapi belakangan ini saya membuat berbagai hal dengan Cursor.
Beberapa hari lalu saya membuat sesuatu yang mirip toko online dengan Flask, lalu saya kepikiran, "Bagaimana kalau ada yang meretas ini?" jadi saya mencoba menjalankan sesuatu yang disebut pemindai keamanan.
Hasilnya: 0/100 poin. Nilai F.
Saya bahkan tidak tahu apa itu SQL Injection, tetapi ternyata itu muncul di kode saya. Saya juga baru tahu saat itu bahwa eval() itu berbahaya.
Jadi saya berpikir, "Apa cuma saya yang begini?" lalu saya memindai 10 proyek serupa lain di GitHub.
Hasil
| Proyek | Dibuat dengan apa | Skor | Temuan |
|---|---|---|---|
| Vibe-Skills | Python + TypeScript | 0 poin | Hash MD5, secret terekspos |
| vibe-kanban | React | 0 poin | 25 masalah aksesibilitas |
| vibedev | JavaScript | 20 poin | 4 API key yang di-hardcode |
| Product-Brainstorm | React + Express | 76 poin | Kekurangan aksesibilitas |
| motif | React | 76 poin | Kekurangan aksesibilitas |
| VibeSecurity | FastAPI + Go | 88 poin | Masalah konfigurasi CORS |
| mcphub | Go + Next.js | 88 poin | Konfigurasi Docker |
| Vibe-Coder | Next.js | 96 poin | 1 masalah aksesibilitas |
| ctx-cloud | TypeScript | 96 poin | 1 masalah aksesibilitas |
| Portfolio | Next.js | 96 poin | 1 masalah aksesibilitas |
Rata-rata 63 poin. Tetapi proyek yang punya backend sebagian besar mendapat nilai F.
Portofolio atau proyek yang hanya punya frontend hampir semuanya mendekati nilai sempurna, tetapi begitu mulai terhubung ke DB atau memakai API key, skornya langsung turun mendekati 0.
Yang saya pelajari
- API key tidak boleh ditulis langsung di kode — saya baru tahu bahwa itu harus dimasukkan ke file
.env - Bahkan kalau bilang ke AI "perhatikan keamanan", hasilnya tetap kurang bagus — saya sudah mencobanya, dan hanya sebagian yang diperbaiki
- Kalau hanya frontend relatif aman, tetapi begitu menambahkan backend jadi berbahaya — saat membuat pembayaran atau login adalah titik yang benar-benar berisiko
Alat pemindai
Saya membuatnya sendiri. Jika memasukkan URL GitHub, skor akan keluar dalam waktu kurang dari 30 detik.
Tidak perlu mendaftar dan gratis. Saya membuatnya supaya pemula seperti saya setidaknya bisa tahu "seberapa berbahayanya kode saya". Setelah hasilnya keluar, tinggal salin-tempel ke AI dan itu akan membantu memperbaikinya.
Kode sumber: https://github.com/vibesafeio/vibesafe-action
Kalau ada masukan, saya akan sangat berterima kasih.
2 komentar
Saya sudah mencobanya dengan baik!
Terima kasih! Bagaimana menurut Anda!?