피드로 돌아가기
I Audited 50 Vibe-Coded Apps. Here's What Broke.
Dev.toDev.to
Security

AI 생성 앱 50개 분석 결과, 설정 오류로 인한 심각한 보안 결함 발견

I Audited 50 Vibe-Coded Apps. Here's What Broke.

Rishabh Kumar2026년 5월 11일7intermediate

AI 요약

Context

Lovable, v0, Bolt 등 AI 에이전트 기반 개발 도구의 확산으로 빠른 제품 출시가 가능해진 환경임. 하지만 AI가 생성한 템플릿의 기본 설정이 보안 최적화보다 편의성에 치우쳐 치명적인 설정 오류가 양산되는 한계가 존재함.

Technical Solution

  • Supabase RLS 활성화를 통한 데이터베이스 레벨의 Default-Deny 접근 제어 체계 구축
  • NEXT_PUBLIC_ 접두어 제거 및 Server-only 파일로의 환경 변수 이전을 통한 Client-side Secret 유출 차단
  • Early Return 패턴(if (!session) return) 적용으로 Auth Logic의 반전 가능성 및 논리적 허점 제거
  • AI Agent에 부여하는 API Token의 Scope를 프로젝트 단위에서 환경 단위로 세분화하여 권한 최소화
  • Destructive Operation 수행 시 Human-in-the-loop Gate를 도입하여 자동화된 데이터 삭제 방지
  • User Input의 Null 문자 제거 및 Hard Length Cap 적용을 통한 Prompt Injection 공격 경로 차단

실천 포인트

1. Supabase 사용 시 pg_tables의 rowsecurity 필드가 FALSE인 테이블 전수 조사

2. NEXT_PUBLIC_ 변수 중 Secret/Key/Token 명칭이 포함된 변수 서버 사이드로 이동

3. Auth Check 로직에서 session 존재 여부에 따른 분기 처리 방향 재검증

4. AI Agent 사용 Token의 Read-only 여부 및 환경별 Scope 설정 확인

5. LLM 입력값에 대해 하드 캡(Hard Cap) 및 특수 문자 필터링 로직 적용

태그

#Row-Level Security#Auth Logic#Prompt Injection#Secret Management#Principle of Least Privilege
원문 읽기