Vibe Coding 安全防御実録

自分でセキュリティ監査を行い、プロジェクト内の10以上のスクリプトにウォレットの秘密鍵がハードコーディングされていることを発見—資金がGitHubに露出しかけた。

原因は @evilcos が警告したIDEの脆弱性と、以前Polymarketのデータ取得時にXの友人たちからの指摘。

🚨 最も危険なシナリオ

GitHubからプロジェクトをクローンし、Cursorで開く—秘密鍵が消える。

プロジェクト内に設定ファイルが隠されており、IDE起動時に自動的にコマンドが実行されるため、気付かないまま。

Cursor公式はこのセキュリティメカニズムを「非常に複雑」だとして、デフォルトで無効にしている。

解決策：Settings → 検索 workspace trust → 有効化

🛡️ 私の防護体系（図1）

重要なのは防護を自動化すること：
• IDEの悪意のあるプロジェクト → 自動ポップアップで確認
• AIによる秘密鍵の読み取り → 自動ブロック
• コードをmainに変更 → 自動ブロック

手動では頼りにならないため、自動化が最も確実。

📋 外部プロジェクトのクローンSOP（図2）

5段階のチェックフローを習慣化すれば、怖くない。

皆さんは外部プロジェクトをクローンする前に何をチェックしていますか？

cc @evilcos @SlowMist_Team 🙏