Как проверить безопасность кода написанного AI?

AI-код выглядит безопасно, но может содержать уязвимости. Автоматические проверки — must have.

Автоматические (hooks)

• security-scan.sh — сканирование на SQLi, XSS при каждом Write/Edit
• protect-secrets.sh — блокировка записи .env, токенов, паролей
• destructive-guard.sh — блокировка rm -rf, DROP TABLE

По требованию (agents)

• security-auditor — полный аудит по OWASP Top 10
• code-reviewer — ревью включая секцию безопасности

OWASP Top 10 для AI-кода

• Injection — SQL, NoSQL, OS command injection через конкатенацию строк
• XSS — innerHTML = userInput вместо textContent
• Broken Auth — слабые JWT, токены в localStorage
• SSRF — неконтролируемые URL в запросах
• Secrets — API ключи в коде вместо .env

Чеклист перед деплоем

• Нет хардкоженных секретов (grep по API_KEY, SECRET, TOKEN)
• Все зависимости актуальны (npm audit)
• CORS настроен (не origin: *)
• Rate limiting на публичных endpoints
• Input validation на всех формах