Tò mò không biết app làm bằng vibe coding có thể bị hack không nên tôi đã tự quét thử
(vibesafe.onrender.com)Tôi không học chuyên ngành nhưng dạo này đang dùng Cursor để làm đủ thứ.
Vài ngày trước tôi làm một thứ na ná trang mua sắm bằng Flask, rồi chợt nghĩ: "Nếu ai đó hack cái này thì sao nhỉ?" nên đã thử chạy một công cụ gọi là trình quét bảo mật.
Kết quả: 0/100 điểm. Hạng F.
Tôi còn không biết SQL Injection là gì, vậy mà kết quả báo là có trong code của tôi. Đây cũng là lần đầu tôi biết eval() nguy hiểm.
Thế là tôi nghĩ: "Có phải chỉ mình tôi như vậy không?" nên đã quét thêm 10 dự án tương tự trên GitHub.
Kết quả
| Dự án | Làm bằng gì | Điểm | Phát hiện gì |
|---|---|---|---|
| Vibe-Skills | Python + TypeScript | 0 điểm | Băm MD5, lộ secret |
| vibe-kanban | React | 0 điểm | 25 lỗi thiếu khả năng truy cập |
| vibedev | JavaScript | 20 điểm | 4 API key bị hardcode |
| Product-Brainstorm | React + Express | 76 điểm | Thiếu hỗ trợ accessibility |
| motif | React | 76 điểm | Thiếu hỗ trợ accessibility |
| VibeSecurity | FastAPI + Go | 88 điểm | Vấn đề cấu hình CORS |
| mcphub | Go + Next.js | 88 điểm | Cấu hình Docker |
| Vibe-Coder | Next.js | 96 điểm | 1 lỗi accessibility |
| ctx-cloud | TypeScript | 96 điểm | 1 lỗi accessibility |
| Portfolio | Next.js | 96 điểm | 1 lỗi accessibility |
Điểm trung bình là 63. Nhưng các dự án có backend thì phần lớn đều hạng F.
Những dự án chỉ là portfolio hoặc chỉ có frontend thì gần như điểm tối đa, nhưng cứ bắt đầu kết nối DB hoặc dùng API key là điểm rơi thẳng xuống gần 0.
Những gì tôi học được
- Không được viết API key trực tiếp trong code — đây là lần đầu tôi biết phải đưa chúng vào file
.env - Bảo AI là "hãy chú ý bảo mật" cũng không hiệu quả lắm — tôi đã thử và nó chỉ sửa được một phần
- Chỉ có frontend thì còn ổn, nhưng gắn thêm backend là rủi ro tăng lên — thời điểm thực sự nguy hiểm là khi làm thanh toán hoặc đăng nhập
Công cụ quét
Tôi đã tự làm thử. Chỉ cần nhập URL GitHub là có điểm trong vòng 30 giây.
Không cần đăng ký và miễn phí. Tôi làm nó để những người mới như tôi ít nhất có thể biết "code của mình nguy hiểm đến mức nào". Khi có kết quả, bạn có thể copy rồi dán cho AI để nó sửa.
Mã nguồn: https://github.com/vibesafeio/vibesafe-action
Rất mong nhận được phản hồi của mọi người.
2 bình luận
Tôi đã dùng thử rất tốt!
Cảm ơn bạn! Bạn thấy thế nào!?