11% of vibe-coded apps are leaking Supabase keys
4 months ago
- #Developer-Tools
- #Supabase
- #Security
- Supabase并非设计上不安全,它内置了行级安全策略(RLS)和基于角色的API密钥等强大安全功能
- 常见安全问题源于开发者失误,例如AI生成的不安全样板代码或环境变量配置错误
- 2024-2025年间,Supabase等工具与AI助手、无代码构建器虽加速了全栈开发,但也带来了安全隐患
- 对独立产品目录的扫描显示,许多应用错误配置Supabase,暴露service_role密钥或缺少RLS策略
- service_role密钥会绕过RLS规则,一旦泄露即可获得完整数据库访问权限,这直接违反Supabase安全准则
- 不同目录的密钥泄露率存在差异,其中TrustMRR平台以23.76%的暴露率高居榜首
- 泄露常发生在JavaScript打包文件中,部分源于框架自动暴露环境变量的机制
- 主要原因包括:AI生成的代码缺陷、后端配置步骤被跳过、教程示例遗漏安全环节
- 修复方案包括:轮换密钥、审计环境变量、将敏感操作移至后端、启用RLS策略、添加构建时安全检查
- SupaExplorer提供安全配置扫描修复工具,可帮助开发者强化Supabase项目安全性