Je me suis demandé si une app créée en vibe coding pouvait se faire pirater, alors je l’ai scannée moi-même
(vibesafe.onrender.com)Je ne viens pas d’un parcours technique, mais en ce moment je construis toutes sortes de choses avec Cursor.
Il y a quelques jours, j’ai créé quelque chose qui ressemble à une boutique en ligne avec Flask, puis je me suis demandé : « Et si quelqu’un la piratait ? » J’ai donc lancé ce qu’on appelle un scanner de sécurité.
Résultat : 0/100. Note F.
Je ne savais même pas ce qu’était une injection SQL, et pourtant le scanner indiquait qu’il y en avait dans mon code. C’est aussi à ce moment-là que j’ai appris pour la première fois que eval() était dangereux.
Du coup, je me suis demandé : « Est-ce que je suis le seul dans ce cas ? » J’ai donc scanné 10 autres projets similaires sur GitHub.
Résultats
| Projet | Créé avec | Score | Problèmes détectés |
|---|---|---|---|
| Vibe-Skills | Python + TypeScript | 0 | Hash MD5, secret exposé |
| vibe-kanban | React | 0 | 25 problèmes d’accessibilité |
| vibedev | JavaScript | 20 | 4 clés API codées en dur |
| Product-Brainstorm | React + Express | 76 | Éléments d’accessibilité manquants |
| motif | React | 76 | Éléments d’accessibilité manquants |
| VibeSecurity | FastAPI + Go | 88 | Problème de configuration CORS |
| mcphub | Go + Next.js | 88 | Configuration Docker |
| Vibe-Coder | Next.js | 96 | 1 problème d’accessibilité |
| ctx-cloud | TypeScript | 96 | 1 problème d’accessibilité |
| Portfolio | Next.js | 96 | 1 problème d’accessibilité |
Moyenne : 63. Mais la plupart des projets avec un backend étaient notés F.
Les portfolios ou projets purement frontend obtenaient presque la note maximale, mais dès qu’il fallait se connecter à une base de données ou utiliser des clés API, le score chutait soudainement vers 0.
Ce que j’ai appris
- Il ne faut pas écrire les clés API directement dans le code — j’ai découvert pour la première fois qu’il fallait les mettre dans un fichier
.env - Même si on dit à une IA de “faire attention à la sécurité”, ça ne marche pas très bien — j’ai testé, et elle n’en corrige qu’une partie
- Le frontend seul passe encore, mais ajouter un backend rend les choses risquées — le vrai moment critique, c’est quand on met en place le paiement ou la connexion
Outil de scan
Je l’ai développé moi-même. Il suffit d’entrer une URL GitHub, et un score s’affiche en moins de 30 secondes.
Pas besoin d’inscription, et c’est gratuit. Je l’ai créé pour que des débutants comme moi puissent au moins savoir « à quel point leur code est risqué ». Une fois le résultat affiché, il suffit de le copier-coller dans une IA, qui peut ensuite proposer des corrections.
Code source : https://github.com/vibesafeio/vibesafe-action
Merci pour vos retours.
2 commentaires
Je l’ai bien utilisé !
Merci ! Qu'en avez-vous pensé !?