피드로 돌아가기
We scanned 1,764 vibe-coded apps. 453 had critical vulnerabilities. Here's what we found beyond Supabase RLS.
Dev.toDev.to
Security

AI 생성 앱 453개에서 Critical 취약점 발견 및 보안 설계 부재 분석

We scanned 1,764 vibe-coded apps. 453 had critical vulnerabilities. Here's what we found beyond Supabase RLS.

Stefan Lederer2026년 4월 25일2intermediate

AI 요약

Context

AI 코드 제너레이터 기반의 'vibe-coded' 앱들이 기능 구현 중심의 설계를 채택함에 따라 보안 계층이 누락된 구조적 한계 노출. 특히 Supabase RLS 설정 미비와 더불어 인증 미들웨어가 결여된 CRUD 엔드포인트 설계가 주요 병목 지점으로 작용.

Technical Solution

  • Sequential ID 기반 엔드포인트 설계로 인한 IDOR 취약점 발생 및 Authorization Middleware 부재 해결 필요
  • Client-side JS 번들에 API Key 및 PEM Private Key가 포함되는 Webpack 빌드 설정 오류 수정
  • OpenAPI Spec 내 securitySchemes 누락으로 인한 전수 공개 API의 인증 계층 강제 적용
  • Server-side call 기반의 라우팅 설계를 통해 Client-side로의 민감 정보 노출 경로 차단
  • 'Does it work' 중심의 프롬프트 엔지니어링에서 'Security-by-Design' 관점의 제약 조건 추가 설계

실천 포인트

1. API 엔드포인트 설계 시 Sequential ID 대신 UUID 도입 및 사용자 권한 검증 로직 확인

2. CI/CD 파이프라인 내 Secret Scanning 도구를 도입하여 JS 번들 내 API Key 유출 방지

3. OpenAPI 정의서의 securitySchemes 설정 및 실제 인증 미들웨어 적용 여부 교차 검증

4. 민감한 API 호출 시 Client-side가 아닌 Server-side Proxy 구조 채택

태그

#IDOR#RLS#Security by Design#Secret Scanning#Authorization Middleware
원문 읽기