バイブコーディングについて教えてくれないこと: ・Moltbookは150万の認証トークンを公開しました。オーナーは一行もコードを書いていなかった。 ・ティーアプリが72,000件の政府IDを漏らした。データベースはただ開かれていただけで、高度なハッキングは必要なかった。 ・研究者が自分のバイブコードゲームでジャーナリストのコンピューターを一度もクリックせずに操作した。 コードは3件すべて正常に動作し、テストも合格し、レビューも問題なく、フラグも出ませんでした。 それが誰も話していない問題です。 チームはこれまで以上に速く出荷しています。AIがコードを書くのです。CIはビルドの失敗をキャッチします。テストは回帰を検出します。可観測性は障害を察知します。 しかし、誰も本当に重要な唯一の質問をしていません。 今、攻撃者はこれで何ができるのでしょうか? ボトルネックはもはやコードを書くことではありません。それは、そのコードが実際に稼働したときに何を露出させるのかを理解することです。 PRレビューは認証の例外を見逃します。ユニットテストは壊れたアクセス制御を探るものではありません。ステージング環境は敵対的な行動をシミュレートしません。ビジネスロジックの欠陥は、誰かがわざと壊そうと決めるまでは全く問題ありません。 Strixはこのギャップを埋めるオープンソースツールです。 攻撃者がランニングアプリをレビューするのと同じように、 - アプリをクロールし、露出したすべてのルートとフローをマッピングします - プローブはビルド時だけでなく動的にパスを乱用します - 概念実証や修正案を含んで発見を返す Strixは200社の実際の企業とオープンソースリポジトリとベンチマークされ、600+件の検証済み脆弱性(割り当てられたCVEを含む)を発見しました。 ...