Контрольный список безопасности для приложений, созданных с помощью Claude AI

Распространенные проблемы безопасности и эксплуатации в приложениях, созданных с помощью Claude Code

Разработчик, который уже некоторое время использует Claude Code для создания проектов, составил чек-лист типичных уязвимостей безопасности, часто встречающихся в приложениях, сгенерированных искусственным интеллектом. Основное наблюдение заключается в том, что Claude Code оптимизирован для рабочего кода, а не для выживания в условиях реального использования в производственной среде.

Критические уязвимости безопасности

• Эксплуатация стоимости API: API-маршруты без ограничения скорости запросов могут позволить злоумышленнику за ночь исчерпать ваш бюджет на AI-сервисы.
• Подделка платежных вебхуков: Вебхуки, принимающие события без проверки подписей, могут быть сфальсифицированы для имитации успешных покупок.
• Недостатки аутентификации: Хранение токенов в localStorage делает их уязвимыми для XSS-атак, что может привести к массовому компрометированию аккаунтов. Бессрочные сессии означают, что украденные токены предоставляют постоянный доступ.

Проблемы масштабирования в продакшене

Проблемы, которые незаметны в разработке, но проявляются в продакшене, включают:

• Отсутствие индексов в базе данных, из-за чего запросы замедляются после нескольких тысяч строк.
• Отсутствие пагинации, приводящее к попыткам загрузить в память целые таблицы базы данных.
• Отсутствие пула соединений, что может вызвать падение приложения при первом всплеске трафика.

Разработчик отмечает: "Claude не думает о масштабировании, пока вы не заставите его об этом подумать."

Обработка ввода и раскрытие API-ключей

• Уязвимости SQL-инъекций остаются классической угрозой, и Claude не предупредит вас о них.
• API-ключи в клиентском коде следует считать скомпрометированными с момента развертывания.

Эксплуатационные пробелы

• Отсутствие эндпоинта проверки работоспособности означает, что вы можете узнать о падении приложения только от пользователей.
• Отсутствие логирования в продакшене оставляет вас без информации для отладки при возникновении проблем.
• Отсутствие проверки переменных окружения при запуске может привести к тихим сбоям без сообщений об ошибках.
• Отсутствие стратегии резервного копирования грозит потерей данных из-за одной неудачной миграции. Разработчик советует: "Убедитесь, что вы используете git для своих проектов, коммитите после каждой значительной сборки и храните репозиторий приватным, если не хотите его публиковать."

Контроль доступа и качество кода

• Административные маршруты, которые проверяют только статус входа, но не права администратора.
• CORS, настроенный на прием запросов откуда угодно.
• Отсутствие TypeScript в коде, сгенерированном ИИ, позволяет опечаткам в свойствах и обращению к неверным структурам данных оставаться незамеченными, пока пользователь не пройдет по непротестированному пути. "Claude пишет с уверенностью. Это не значит, что код правильный."

Решение для внедрения

Разработчик предлагает практическое решение: "Если вы хотите, чтобы Claude Code автоматически учитывал эти пункты, просто вставьте этот чек-лист в файл CLAUDE.md в корне проекта. Или добавьте его в ~/.claude/CLAUDE.md для глобальных правил, применяемых ко всему, что вы создаете. Claude читает его в каждой сессии и рассматривает как постоянные инструкции."

Заключительный совет: "Выпускайте быстро. Но выпускайте с открытыми глазами... лучше укрепить фундамент сейчас, чем сожалеть потом."