"Мой вайб-стартап взломали

"Мой вайб-стартап взломали. Потерял 2500 баксов на комиссиях Stripe. А с моих 75 клиентов списали по 500$ до того, как я сменил ключи доступа. Стартап писал на Caude Code."

Русский ИТ бизнес + Мы в MAX

3 436

👍 45

Комментарии (30)

Непреклонный Миротворец 2026-03-10 09:11

Могли взломать и сайт написанный человеком
- Танцующий Единорог 2026-03-10 09:12
  
  Все мы не без греха. А ИИ человек пытается сделать по своему образу и подобию, так с чего ему быть другим. 😂
  - Добрый Павлин 2026-03-10 09:13
    
    просто процент взлома будет больше. Вайбкодеры не способны описать все возможные дыры для их закрытия. Так как тупо о них не знают. Но и тот кто знает, может забыть что-то то закрыть или быть не в курсе новых дыр
    - Танцующий Единорог 2026-03-10 14:01
      
      Выход: натравливать нейронку на уже готовый сервис с заданием найти возможные места взлома.
      - Добрый Павлин 2026-03-10 14:03
        
        Вроде как используют уже подобное читал.
        А так вообще интересно свои сервисы потестить, если скучно 😁
- Океанический Гоблин 2026-03-10 09:14
  
  Прикольно. Обычно ИИ подсказывает в каком месте могут быть уязвимости. Типа SQL-инъекции и как этого избежать. Но это когда код частично пишу сам, мелкими блоками вставляю в проект, а не весь сразу.
  - Танцующий Единорог 2026-03-10 09:16
    
    Это если ему выдать такое указание. А если не выдано, то увы, сей фактор не берется во внимание.
- Синтетический Помидор 2026-03-10 09:35
  
  Да сам лоханулся скорее всего, решил на ИИ свалить
Танцующий Единорог 2026-03-10 09:11

Ожидаемо. Мало объяснить ИИ, какой сервис ты хочешь получить. Важно понимать возможные риски и правильно выстроить ограничения.
Добрый Павлин 2026-03-10 09:12

https://habr.com/ru/articles/992740/

Хабр
Ошибка в $5 000 на TON из-за кода, написанного нейронкой
Непреклонный Миротворец 2026-03-10 09:13

Всегда прошу несколько нейронок перепроверить результат работы другой когда закрываю этап работы
- Добрый Павлин 2026-03-10 09:15
  
  вообще бестолку, если не описать все узкие места которые надо проверить. А если о них не знаешь..
  - Непреклонный Миротворец 2026-03-10 09:15
    
    Это другой вопрос. Не знаешь - не лезь
    - Добрый Павлин 2026-03-10 09:16
      
      Дак это к вайбкодерам))
Танцующий Единорог 2026-03-10 09:15

Тут была информация, что Claude классифицирует цели для авиа и ракетных ударов по Ирану. Так вот беглый анализ американских же аналитиков показал, что большая часть целей, указанная на ложные цели (пустые грузовики, нарисованные на асфальте силуэты самолетов и т.п.)
Непреклонный Миротворец 2026-03-10 09:15

Да и нечего было хранить данные карты в базе
- Океанический Гоблин 2026-03-10 09:17
  
  Вот, а WB кажется по умолчанию её запоминает, даже не спрашивает сохранить.
Прозрачный Мим 2026-03-10 09:18

Не первый и не последний...
Синтетический Помидор 2026-03-10 09:21

75*500=37500$
- Строганый Дирижер 2026-03-10 09:23
  
  Ну вот никому нельзя верить в инете))
- Лохматый Осьминог 2026-03-10 10:15
  
  Там же указано, что на комиссиях.
Ирисовый Редактор 2026-03-10 09:23

А где гарантия что обратившись в контору не получишь тот же вайбкоженый код?
- Строганый Дирижер 2026-03-10 09:24
  
  Нет ее
- Неоновый Клон 2026-03-10 09:27
  
  На Пикабу читал
  Готовили документальный фильм про маслодельческую артель дореволюционную.
  Подготовили подробный тз с примерами и прочим.
  Искали художника, чтобы от руки нарисовал:
  
  Не нашли😁
  
  В лучшем случае обещали поверх обрисовать...
Синтетический Помидор 2026-03-10 09:24

И не 75, а 175
Пепельный Червь 2026-03-10 09:25

О боже, взломали вайб-стартап, все сообщество тут же начало истерически издеваться "вот, ии не смог, и плохой" как будто созданные человеком не взламывают 😄
Синтетический Помидор 2026-03-10 09:31

Утечка Stripe secret key (sk_live_...) в фронтенд-коде (JavaScript, который виден всем посетителям сайта).
Хакеры (или автоматизированный скрипт-сканер) нашли этот ключ.
С его помощью они создали массовые charges на 175 сохранённых картах клиентов по $500 каждая → итого $87 500 в fraudulent транзакциях.
Но:
Большинство (если не все) этих charges были быстро reversed / refunded (как видно на скриншоте: reversed/refunded с одинаковым error кодом, вероятно, fraud detection Stripe или manual refund).
Деньги не ушли хакерам на их счета — они вернулись клиентам (или не ушли дальше).
Сам Антон не потерял $87 500 — он потерял только Stripe fees за обработку этих транзакций (~2.9% + $0.30 за charge), которые Stripe не возвращает даже при реверсе/рефанде. Отсюда и $2500 убытка.
Ядерный Капитан 2026-03-10 09:42

ждем обязательный ии аудит решений от ии для подключения к критическим сервисам или пока рано? :) градус бурления/степень переварки какой должен быть? :)
Лохматый Осьминог 2026-03-10 10:03

Клауд код не виноват в взломе - виноват тот, кто запустил стартап без базовой проверки безопасности. Написать продукт через ИИ и не проверить ключи доступа перед запуском - это как оставить ключи под ковриком и удивляться, что дом взломали.
Лунный Зубр 2026-03-10 10:36

Вайб-взлом вайб-стартапа, просто для вайба на вайбе.