Vibe Coding безпечна оборона: запис

Зробив собі безпечний аудит, виявив, що у проекті понад 10 скриптів жорстко закодовані приватні ключі гаманця — майже розкрив кошти на GitHub.

Причиною стала вразливість IDE, попереджена @evilcos, а також попередження від друзів у X під час спільного збору даних Polymarket.

🚨 Найбільш небезпечний сценарій

Клонуєте проект з GitHub, відкриваєте Cursor — і приватний ключ зникає.

У проекті прихований конфігураційний файл, при відкритті IDE автоматично виконується команда, і ви навіть не знаєте про це. Офіційно Cursor каже, що цей механізм безпеки "занадто складний", тому за замовчуванням вимкнений.

Рішення: Settings → пошук workspace trust → увімкнути

🛡️ Моя система захисту (малюнок 1)

Головне — зробити захист автоматичним:
• Шкідливий проект у IDE → автоматичне сповіщення
• AI читає приватний ключ → автоматичне блокування
• Зміни у коді main → автоматичне блокування

Ручні методи ненадійні, автоматичні — це гарантія.

📋 SOP для клонування зовнішніх проектів (малюнок 2)

5-кроковий процес перевірки, якщо звикнете — страху не буде.

Що ви перевіряєте перед клонуванням зовнішніх проектів?

cc @evilcos @SlowMist_Team 🙏