🔐

🔐 Кибербезопасность для вайб-кодера: как я за один день закрыл 25 уязвимостей — и чек-лист для тебя

Запись из дневника вайб-кодера от 13 апреля 2026

Сергей Конев · Со-основатель IKIGAI PROMOTION · Digital Qazaqstan Awards 2026

Предыстория

Мне написал незнакомый безопасник. Закидал вопросами:

«Ты где хранишь API-ключи? Прямо в JS-файле? А ты в курсе, что любой школьник через DevTools их вытащит?»

«CAPTCHA у тебя стоит? Или ты реально думаешь, что боты не будут заливать твою форму 500 заявками за ночь?»

«Security-заголовки добавил? Или думаешь, что браузер сам разберётся?»

15 вопросов. Половина — мимо (он думал, что у меня WordPress и PHP, а у меня статический HTML на Vercel). Но другая половина попала в точку.

И я понял: я строил AI-офис из 10 агентов, но ни разу не проверял, закрыта ли входная дверь.

Что нашёл Claude Code за 5 минут

Я попросил Claude Code провести полный аудит безопасности. Два параллельных агента (Security Engineer + Explore) прошлись по всем файлам.

Результат — мурашки по коже:

CRITICAL — немедленная угроза

10 API-ключей лежали в .env файле, который попал в git-историю (GetCourse, AmoCRM, Telegram, Supabase, fal.ai, Apify, Exa, LinkedIn, Notion)
Пароль root от сервера был в открытом виде в файле openclaw/.env
Notion API токен был хардкоднут прямо в Python-скрипте
.gitignore не защищал файлы с секретами

HIGH — серьёзные дыры

Webhook URL сервера светился в клиентском JavaScript (любой мог слать спам-заявки)
Supabase ключ был в HTML-коде дашборда
Google Docs ссылка с правами /edit вместо /view

MEDIUM — нужно улучшить

Нет security-заголовков на Vercel (CSP, HSTS, X-Frame-Options)
Форма без защиты от ботов (нет CAPTCHA, нет honeypot)
YouTube embed без санитизации videoId (потенциальный XSS)

Что мы сделали за 1 день

Автоматические фиксы (Claude Code)

.gitignore обновлён — .env файлы больше никогда не попадут в git
Security headers — vercel.json с 7 заголовками безопасности (HSTS, CSP, X-Frame-Options, Permissions-Policy)
Honeypot anti-spam — скрытое поле в форме, которое видят только боты
Валидация телефона — минимум 10 цифр
XSS-защита — YouTube videoId проходит через regex-фильтр
Секреты убраны из git-истории (git rm --cached)

Ручная ротация ключей (я + Claude Code подсказывает)

За 2 часа мы заменили ВСЕ скомпрометированные ключи:

Сервис	Что сделали
Notion (x2)	Regenerate token в Settings → Integrations
Telegram Bot	@BotFather → /mybots → Revoke token
AmoCRM	Новый Client Secret
GetCourse	Новый API-ключ
Supabase	Новый Publishable key (обновили до Pro!)
fal.ai	Новый API key
Apify	Revoke + новый token
Exa	Regenerate
LinkedIn	Новый OAuth access token
Сервер	Новые пароли root + ikigai
OpenClaw	Re-auth OpenAI Codex

11 ключей за одну сессию. Каждый — и на ноутбуке, и на сервере.

Чек-лист безопасности для вайб-кодера

Если ты строишь свои проекты с Claude Code, Cursor или любым другим AI-инструментом — пройди этот чек-лист прямо сейчас.

🔴 Критично (сделай СЕГОДНЯ)

API-ключи не в коде. Открой свои .js, .html, .py файлы. Если видишь sk-, Bearer, token=, apiKey= — перенеси в .env файл

.env не в git. Проверь: git ls-files | grep .env — если что-то нашлось, добавь в .gitignore и сделай git rm --cached .env

.gitignore настроен. Должно быть:

.env
.env.local
.env.*
.secrets/
credentials.json
*.key
*.pem

2FA включена на GitHub, Google, и всех сервисах с доступом к данным

Пароли уникальные. Один пароль = один сервис. Используй менеджер паролей (Bitwarden, 1Password)

🟡 Важно (сделай на этой неделе)

Security headers на сайте. Если используешь Vercel — создай vercel.json:

{
  "headers": [{
    "source": "/(.*)",
    "headers": [
      {"key": "X-Frame-Options", "value": "SAMEORIGIN"},
      {"key": "X-Content-Type-Options", "value": "nosniff"},
      {"key": "Strict-Transport-Security", "value": "max-age=63072000; includeSubDomains"},
      {"key": "Permissions-Policy", "value": "camera=(), microphone=(), geolocation=()"},
      {"key": "Content-Security-Policy", "value": "frame-ancestors 'self'"}
    ]
  }]
}

Формы защищены от ботов. Добавь honeypot-поле (скрытый input, который видят только боты) или CAPTCHA

Google Docs/Notion ссылки — проверь что стоит «Anyone can view», а не «Anyone can edit»

GTM/GA аккаунт — включи 2FA для Google аккаунта, через который управляешь аналитикой

Webhook URL не должен быть в клиентском JS. Используй серверный прокси

🟢 Профилактика (раз в квартал)

Ротация ключей. Меняй все API-ключи раз в 3 месяца, как замену масла в машине

npm audit / проверка зависимостей на уязвимости

Обновление сервера: sudo apt update && sudo apt upgrade

Проверка доступов: кто имеет доступ к GitHub, Notion, CRM? Убери лишних

Бэкап .env файлов — в запароленном архиве, не в облаке рядом с кодом

🚨 Если тебя взломали

Не паникуй — действуй по списку
Смени пароль GitHub → google → email (в этом порядке)
Отключи все сессии GitHub
Ротируй ВСЕ API-ключи
Проверь git log — нет ли чужих коммитов
Проверь логи сервера

Главный инсайт дня

Вайб-кодинг — это свобода строить быстро. Но скорость без безопасности — это самолёт без шасси. Взлетит красиво, сядет больно.

Claude Code нашёл за 5 минут то, что я не видел 2 недели. Два агента (Security Engineer + Explorer) прошлись по всему проекту, нашли 25 уязвимостей, и мы закрыли их за один день.

Мораль: если ты вайб-кодер — поставь себе напоминание раз в месяц: «Провести аудит безопасности». Одна команда Claude Code может спасти тебя от очень неприятного утра.

13 апреля 2026

#вайбкодинг #AI #бизнес #предпринимательство #операционнаясистема #IKIGAIpromotion

🚀

Хотите собрать свою AI-систему за 1 день?

Мы проводим AI-интенсив за 1 день — 8 часов практики, после которых у вас уже работает Claude Code, подключены Telegram, Gmail, Notion, настроены агенты и автоматизации.

88 000 ₸ · Кол-во мест ограничено · Узнать подробности и записаться →

Хотите глубже? Полное погружение за 23 дня: Программа курса →

Сергей Конев · Со-основатель IKIGAI PROMOTION · Победители Digital Qazaqstan Awards 2026