สงสัยว่าแอปที่ทำด้วย vibe coding จะโดนแฮ็กได้ไหม เลยลองสแกนเอง

ผมไม่ได้จบสายนี้ แต่ช่วงนี้กำลังลองทำโน่นทำนี่ด้วย Cursor อยู่

เมื่อไม่กี่วันก่อนผมทำอะไรคล้าย ๆ เว็บช้อปปิ้งด้วย Flask แล้วก็เกิดคิดขึ้นมาว่า "ถ้ามีคนมาแฮ็กอันนี้จะทำยังไง?" เลยลองรันสิ่งที่เรียกว่า security scanner ดู

ผลลัพธ์: 0/100 คะแนน ระดับ F

ตอนนั้นผมยังไม่รู้เลยว่า SQL Injection คืออะไร แต่ในผลสแกนบอกว่ามีอยู่ในโค้ดของผม แล้วก็เพิ่งมารู้ตอนนั้นเองว่า eval() อันตราย

เพราะงั้นก็เลยสงสัยว่า "มีแค่ผมคนเดียวหรือเปล่าที่เป็นแบบนี้?" เลยไปสแกนโปรเจกต์คล้าย ๆ กันใน GitHub เพิ่มอีก 10 โปรเจกต์

ผลลัพธ์

ค่าเฉลี่ย 63 คะแนน แต่ โปรเจกต์ที่มี backend ส่วนใหญ่ได้ระดับ F

พวก portfolio หรือโปรเจกต์ที่มีแค่ frontend เกือบได้เต็มหมด แต่พอเริ่มต่อ DB หรือเริ่มใช้ API key คะแนนก็ดิ่งลงไปใกล้ 0 ทันที

สิ่งที่ผมได้เรียนรู้

1. ห้ามเขียน API key ลงในโค้ดโดยตรง — เพิ่งรู้ครั้งแรกว่าควรใส่ไว้ในไฟล์ .env
2. ต่อให้บอก AI ว่า "ช่วยใส่ใจเรื่อง security หน่อย" ก็ไม่ได้ผลมากนัก — ผมลองแล้ว มันแก้ให้แค่บางส่วน
3. ถ้ามีแค่ frontend ยังพอโอเค แต่พอมี backend จะเริ่มเสี่ยง — ตอนทำระบบจ่ายเงินหรือล็อกอินนี่แหละคือช่วงที่อันตรายจริง ๆ

เครื่องมือสแกน

ผมลองทำขึ้นมาเองครับ แค่ใส่ GitHub URL ก็ได้คะแนนภายใน 30 วินาที

https://vibesafe.onrender.com

ไม่ต้องสมัครและใช้ฟรี ผมทำไว้เพื่อให้มือใหม่แบบผมอย่างน้อยพอรู้ได้ว่า "โค้ดของตัวเองเสี่ยงแค่ไหน" พอผลออกมาแล้วก็สามารถคัดลอกไปแปะให้ AI ช่วยแก้ต่อได้

ซอร์สโค้ด: https://github.com/vibesafeio/vibesafe-action

ถ้ามี feedback จะขอบคุณมากครับ