====== Bezpečnost ve vibe codingu ======

//Vytvořeno: **11.6.2026** | Aktualizováno: **~~LASTMOD~~**//

[[https://www.youtube.com/watch?v=RSfxZVcwkdI|Bezpečnost ve vibe codingu: nejčastější chyby a jak se jim vyhnout]] je rozhovor s Janem Ševčíkem o tom, jaké bezpečnostní chyby typicky vznikají při vývoji aplikací pomocí AI a jak je systematicky odhalovat. Zápis je praktický checklist pro projekty, které vznikly „vibe codingem“ a mají se posunout z prototypu do bezpečnějšího provozu.

{{youtube>RSfxZVcwkdI?}}

===== Shrnutí =====

Vibe coding umožňuje velmi rychle vytvořit prototyp nebo MVP, ale snadno vede k falešnému pocitu bezpečí. Aplikace může vypadat funkčně, přitom obsahovat uniklé API klíče, otevřené endpointy, chybějící testy nebo zbytečný balast v projektu. Hlavní doporučení z videa je postupovat pomaleji, průběžně se ptát na bezpečnost a nepouštět produkční aplikaci bez základní hygieny: 2FA, Git, audit secrets, kontrola endpointů a automatické testy.

===== Nejčastější chyby =====

==== Secrets a API klíče v projektu ====

Jedna z hlavních chyb je uložení API klíčů přímo v kódu nebo v doprovodných souborech. Ve videu se zmiňuje, že secrets nemusí být jen ve funkčním kódu, ale i v různých ''*.md'' souborech, které AI agent průběžně generuje.

Riziko je praktické: pokud se klíč dostane ven, může být zneužitý proti napojené službě. U AI služeb, platebních bran nebo cloudových účtů pak nemusí být hned vidět, co se stalo.

Pracovní prompt pro kontrolu projektu:

<code>
Vypiš mi všechny secrets a API klíče, které jsou v tomto projektu vidět.
</code>

Interpretace je jednoduchá: pokud je agent umí vypsat, jsou v projektu dostupné a je potřeba je přesunout mimo repozitář, typicky do environment proměnných nebo správce secrets.

==== Otevřené endpointy ====

AI podle videa často vytvoří endpointy nebo URL, které nejsou správně chráněné autentizací. Typický problém je stránka nebo API cesta, na kterou se dá dostat přímo přes URL, i když má být dostupná jen přihlášenému nebo platícímu uživateli.

Kontrola by neměla být jen „klikací“. Je potřeba projít všechny důležité URL a ověřit, které opravdu vyžadují přihlášení, roli, předplatné nebo jiné oprávnění.

==== Chybějící automatické testy ====

U vibe-coded aplikací často chybí testy. Pak se snadno stane, že oprava jedné části rozbije jinou část aplikace. Ve videu zaznívá konkrétní příklad testů pro předplatné: ověřit, že do systému nepropadnou uživatelé bez zaplaceného subscribu.

Doporučený postup je nechat AI nejdřív navrhnout plán testů a až potom generovat konkrétní testy:

<code>
Připrav mi plán automatických testů pro tento projekt. Zaměř se hlavně na přístupová práva, platby, předplatné a endpointy, které nesmí být veřejné.
</code>

Potom navázat konkrétně:

<code>
Vytvoř automatický test pro kontrolu, že uživatel bez zaplaceného předplatného nemá přístup k placené části aplikace. Test ulož do samostatné složky pro testy.
</code>

===== Bezpečnější workflow pro vibe coding =====

==== 1. Projekt vždy držet v Gitu ====

Git je základní bezpečnostní i provozní hygiena. Umožňuje auditovat, co se v projektu měnilo, vracet se k předchozím verzím a zapojit nástroje, které kontrolují elementární bezpečnostní chyby.

Pokud projekt ještě není v repozitáři, je to první věc k nápravě.

==== 2. Prohledat celý projekt na secrets ====

Nestačí hledat jen v souborech aplikace. Kontrolovat je potřeba i:

  * konfigurační soubory,
  * dokumentační ''*.md'' soubory,
  * soubory vygenerované agentem,
  * staré nebo zdánlivě nepoužívané části projektu.

Prakticky lze začít ručně přes vyhledávání v editoru a potom přidat automatické kontroly v repozitáři nebo CI.

==== 3. Zkontrolovat všechny endpointy ====

U každé důležité URL nebo API cesty je potřeba ověřit:

  * kdo se na ni může dostat,
  * zda vyžaduje přihlášení,
  * zda kontroluje roli nebo předplatné,
  * zda nevrací citlivá data bez autorizace,
  * zda test pokrývá očekávané chování.

==== 4. Nechat AI pracovat s aktuální dokumentací ====

Model může používat zastaralé postupy, protože jeho znalosti končí datem tréninku. Ve videu se jako řešení zmiňuje připojení MCP serveru ''Context 7'', který poskytuje aktuální dokumentaci k technologiím jako Laravel, Stripe nebo Next.js.

Použitelný prompt po napojení dokumentace:

<code>
Při řešení tohoto úkolu vycházej z aktuální dokumentace dostupné přes MCP server. Nejdřív si dokumentaci projdi a teprve potom navrhni postup.
</code>

==== 5. Zapnout dvoufaktorové ověřování ====

2FA není jen ochrana vývojářského účtu. Ve videu zaznívá širší pointa: čím víc aplikací vzniká rychlým vibe codingem, tím častěji uživatelé zadávají svá data do systémů, které nemusí být dobře zabezpečené. Dvoufaktorové ověřování proto snižuje dopad úniku hesla.

===== Volba technologií =====

Jan Ševčík zmiňuje Laravel jako příklad determinističtějšího frameworku. Výhoda pro AI je v tom, že framework má jasnější konvence a méně prostoru pro libovolné řešení stejné věci. To může modelu snížit prostor pro chyby.

Naopak u ekosystémů typu React nebo Next.js modely často umí hodně variant, protože na nich bylo mnoho trénovacích dat. To ale samo o sobě neznamená, že jde o nejvhodnější volbu pro daný projekt nebo že výsledný kód bude bezpečnější.

===== Praktický checklist =====

  * Projekt je v Gitu a změny jsou auditovatelné.
  * Secrets nejsou v kódu, dokumentaci ani vygenerovaných souborech.
  * API klíče jsou mimo repozitář.
  * Všechny služby kolem projektu mají zapnuté 2FA.
  * Kritické endpointy vyžadují autentizaci a správná oprávnění.
  * Existují automatické testy pro přihlášení, role, platby a předplatné.
  * AI používá aktuální dokumentaci, ne jen tréninkovou paměť modelu.
  * Balast a nepotřebné soubory jsou odstraněné, aby projekt zbytečně nežral tokeny a nebyl méně přehledný.
  * Před prací s reálnými uživatelskými daty nebo penězi proběhne externí review nebo bezpečnostní audit.

===== Poznámky k odpovědnosti =====

Pokud aplikace zpracovává osobní údaje, odpovědnost za jejich ochranu nezmizí tím, že kód vygenerovala AI. Ve videu se připomíná GDPR a odpovědnost provozovatele aplikace při případném úniku dat. Vibe coding je dobrý nástroj pro rychlé prototypování, ale u aplikací s klientskými daty, platbami nebo citlivým obsahem je potřeba počítat s profesionálním review.

===== Zdroje =====

  * [[https://www.youtube.com/watch?v=RSfxZVcwkdI|Bezpečnost ve vibe codingu: nejčastější chyby a jak se jim vyhnout (Jan Ševčík)]]