זה נשמע כמו סיפור אימה, אבל זה קורה ליותר מדי יזמים שמשתמשים ב-AI כדי לבנות מוצרים.
כשמבקשים מ-Claude או Cursor לבנות אפליקציה, מתקבל קוד שעובד. הוא יפה, הוא מהיר והוא עושה מה שביקשתם. אבל יש דבר אחד שה-AI כמעט תמיד לא מספר: איפה נמצאים המפתחות הסודיים.
הטעות הקלאסית שראיתי השבוע בכמה פרויקטים: ה-API Key של OpenAI, Stripe או ה-Database נמצא ישירות ב-Frontend.
מה זה אומר? שכל משתמש שנכנס לאתר יכול, בלחיצת Inspect, להעתיק את המפתח ולהשתמש בחשבון שלכם על חשבונכם.
איך עושים את זה נכון (The Last Mile)
- Server-Side Only: שום מפתח סודי לא אמור להופיע בדפדפן. כל גישה רגישה חייבת לעבור דרך צד שרת.
- Environment Variables: שימוש נכון בקובצי ENV והגדרה בטוחה בתוך Cloudflare/Vercel.
- Middleware: שכבת הגנה שבודקת מי מבקש מידע ולמה, לפני שהשרת בכלל מחזיר תשובה.
ה-AI הוא מנוע מטורף, אבל הוא לא מהנדס אבטחה. לרוב הוא יספק את הפתרון הקצר ביותר שעובד, גם אם הדלת פתוחה לרווחה.
יש לכם פרויקט באוויר? לכו עכשיו לקוד וחפשו מילים כמו apiKey או SECRET. אם אתם
מוצאים מחרוזות מפתח בצד לקוח, כנראה שיש לכם חור אבטחה.
מרגישים שאתם צריכים עין מקצועית שתעבור על הקוד ותוודא שאתם לא חשופים? שלחו הודעה ונעשה בדיקת אבטחה מהירה (Sanity Check) כדי שתוכלו לישון בשקט.
הרחבה קצרה
בדיקת אבטחה בסיסית לפני השקה יכולה לחסוך נזק כספי ותדמיתי גדול. עדיף לעצור יומיים ולחזק נכון, מאשר לטפל בדליפה אחרי שהמוצר כבר אצל לקוחות.