Ich habe mich gefragt, ob eine mit Vibe Coding gebaute App gehackt werden kann, und sie deshalb selbst gescannt
(vibesafe.onrender.com)Ich komme nicht aus der Informatik und baue in letzter Zeit mit Cursor dies und das.
Vor ein paar Tagen habe ich mit Flask etwas gebaut, das wie ein kleiner Online-Shop aussieht, und dachte mir: „Was, wenn das jemand hackt?“ Also habe ich mal einen sogenannten Security-Scanner laufen lassen.
Das Ergebnis: 0/100 Punkte. Note F.
Ich wusste nicht einmal, was SQL Injection ist, aber der Scanner meinte, dass mein Code dafür anfällig sei. Dass eval() gefährlich ist, habe ich auch erst dabei zum ersten Mal gelernt.
Also habe ich mich gefragt: „Bin ich der Einzige mit so einem Problem?“ und noch 10 ähnliche Projekte auf GitHub gescannt.
Ergebnisse
| Projekt | Womit gebaut | Punktzahl | Was gefunden wurde |
|---|---|---|---|
| Vibe-Skills | Python + TypeScript | 0 Punkte | MD5-Hash, Secret offengelegt |
| vibe-kanban | React | 0 Punkte | 25 Probleme bei der Barrierefreiheit |
| vibedev | JavaScript | 20 Punkte | 4 hartcodierte API-Keys |
| Product-Brainstorm | React + Express | 76 Punkte | Fehlende Barrierefreiheit |
| motif | React | 76 Punkte | Fehlende Barrierefreiheit |
| VibeSecurity | FastAPI + Go | 88 Punkte | Problem in der CORS-Konfiguration |
| mcphub | Go + Next.js | 88 Punkte | Docker-Konfiguration |
| Vibe-Coder | Next.js | 96 Punkte | 1 Problem bei der Barrierefreiheit |
| ctx-cloud | TypeScript | 96 Punkte | 1 Problem bei der Barrierefreiheit |
| Portfolio | Next.js | 96 Punkte | 1 Problem bei der Barrierefreiheit |
Im Schnitt 63 Punkte. Aber Projekte mit Backend haben fast alle eine F-Bewertung bekommen.
Portfolios oder reine Frontend-Projekte lagen fast bei der Höchstpunktzahl, aber sobald eine DB angebunden oder mit API-Keys gearbeitet wurde, fiel die Bewertung plötzlich in die Nähe von 0.
Was ich gelernt habe
- API-Keys sollte man nicht direkt in den Code schreiben — ich habe erst jetzt gelernt, dass sie in eine
.env-Datei gehören - Selbst wenn man einer AI sagt „Achte auf Security“, klappt das nicht besonders gut — ich habe es ausprobiert, aber nur einen Teil der Probleme beheben lassen
- Nur Frontend ist meist okay, aber mit Backend wird es riskant — besonders kritisch wird es, wenn man Zahlung oder Login baut
Scan-Tool
Ich habe es selbst gebaut. Wenn man eine GitHub-URL eingibt, bekommt man in weniger als 30 Sekunden eine Bewertung.
Keine Registrierung nötig, kostenlos. Ich habe es so gebaut, dass Newcomer wie ich zumindest sehen können, „wie riskant mein Code ist“. Wenn das Ergebnis erscheint, kann man es in eine AI kopieren und einfügen, die dann Korrekturen vorschlägt.
Quellcode: https://github.com/vibesafeio/vibesafe-action
Ich freue mich über Feedback.
2 Kommentare
Ich habe es gut genutzt!
Danke! Wie fandet ihr es!?