Vibe App Scanner

Vibe App Scanner の紹介

Vibe App Scanner（VAS）は、AI ツールを用いて構築または開発支援された Web アプリケーション向けの外部・非侵襲型セキュリティスキャナーです。AI 主導による迅速な開発によって生じやすい一般的な脆弱性を検出します。これには、公開されたシークレット情報、安全でないヘッダー、機密ファイルの露出、認証の問題、データベースアクセスの誤設定などが含まれます。本ツールは Bolt.new、Lovable、v0.dev、Cursor などのシステムが生成するアプリに見られるパターンに最適化されています。

VAS はアプリケーションをクロールし、プラットフォームやスタックの特徴を検出し、インフラ、クライアントバンドル、および一般的なバックエンド設定に対してターゲットを絞ったチェックを実施します。各スキャンはセキュリティ専門家による手動レビューを受けた上で結果が提示され、対応策についても明確なガイダンスが提供されます。検出結果は、AI ツールが利用可能な形式の Markdown レポートとしてエクスポートでき、修正の実装に必要なコンテキストや注意点も含まれます。

主なポイント

• 外部から実行される非侵襲型スキャナーであり、本番環境でも安全に使用可能
• AI で生成されたアプリのパターンおよび一般的な誤設定に焦点を当てる
• 包括的なチェック項目：シークレット情報、データベースルール、認証、ヘッダー、機密ファイルの露出
• 深層クロールによる完全スキャン（約200～500URL）とプラットフォーム検出（例：Vercel、Supabase）
• 結果確定前にセキュリティ専門家による手動レビューを実施
• 優先順位付けされた検出結果と段階的な対処ガイド付きダッシュボード
• AI ツール向けに設計された Markdown エクスポート（実装のコンテキストを含む）
• 柔軟なオプション：無料のセキュリティヘッダー確認、ワンタイムフルスキャン、月次モニタリング

Vibe App Scanner の動作方法

アプリケーションの URL を提供してください。VAS はクロールを開始し、アプリケーションのルートやアセットを発見し、可能な場合はホスティングまたはデータプラットフォームを検出してスキャン計画を作成します。クローラーは現代的な AI 開発支援スタックおよびフレームワークに最適化されており、侵入的な操作を行わずに広範囲をカバーできます。

スキャンでは、以下の複数の領域を評価します：クライアントバンドル内のシークレット情報や資格情報、データベースのセキュリティ（Supabase のロールレベルセキュリティおよび Firebase ルール）、SQL インジェクション耐性、認証およびセッション管理、OAuth 設定、機密ファイルおよびアーティファクトの露出（.env、.git、ソースマップなど）、インフラおよびヘッダー（CSP、HSTS、CORS、SSL/TLS、Cookie フラグ）。これらのチェックは安全を確保するため、脆弱性を悪用することはありません。

スキャン完了後、結果は深刻度、証拠、および対処ガイドとともにダッシュボードに表示されます。各スキャンはセキュリティ専門家が手動でレビューし、検出内容を検証します。AI ツール向けに最適化された Markdown レポートをエクスポート可能です。フルスキャンには修正の検証用として無料再スキャンが1回含まれており、月次プランでは初回のフルスキャン後に毎月2回のスキャンが提供されます。

主な利点と用途

• リスクを軽減するために、AI で生成されたアプリのリリース前におけるセキュリティ検証
• 各リリース後のデプロイ後に実施する、回帰や新たに露出したアセットを検出するためのチェック
• Supabase RLS や Firebase セキュリティルールを含むデータアクセス制御の検証
• クライアントサイドバンドルおよびパブリックパスにおける API キーや設定アーティファクトの露出検出
• CSP、HSTS、CORS、Cookie ポリシーを含むセキュリティヘッダーの状態改善
• Vercel、Netlify、Cloudflare、Supabase、Firebase などのマネージドホスティングおよびサービスを利用するチームをサポート（コード変更不要）
• 定期的な専門的なペネトレーションテストを補完するものであり、その代替とはならない

料金概要