AIで作ったアプリは、Firebase / Supabase のルール設定が「全開」のまま本番に出やすい。 この入口スキャナーは、あなたのブラウザの中だけで「無認証でデータが取れてしまうか」を確かめます。 サーバーは外部DBを一切叩きません。
運営:合同会社Will / 自分自身もアプリを複数出し、データが誰でも読める状態のまま出していたことがある側です。
※ 公開前提のキー(Firebaseの apiKey・Supabaseの anonキー)は、設計上クライアントに出るものです。 これらの露出は「穴」として報告しません(誤報を避けるため)。
1. Firebase Realtime Database — 無認証でルートが読めるか。
2. Firestore — ありがちなコレクション名(users, posts, messages, profiles, orders など)を無認証で読めるか。検査したパス名は必ず一覧に表示します(全網羅はできません)。
3. Supabase — anonキーだけで各テーブルの行が取れてしまうか(RLSが実質全開か)。
この無料スキャナーは、よくある入口だけを限られた範囲で確かめるものです。 検査した場所は必ず画面に出します。そこに出ていない場所や、別の種類の穴は残っている可能性があります。 ブラウザのCORS制限で検査が届かない場合は「判定できず」と表示します。 きちんと診たい場合は、有料の詳しい診断をご検討ください。
この無料スキャナーは入口の一部だけを確認します。アプリ全体を詳しく診たい場合は、 下のフォームからご連絡ください。いただくのはメールアドレスと業種・規模だけです。 「メールで相談する」を押すと、お使いのメールソフトで下書きが開きます(送信はご自身で)。 上のスキャン結果とは独立しており、検査したアプリの情報や脆弱性の有無は含まれません。