あ…ありのまま今起こった事を話すぜ!
これは俺の個人サービス作ってたやつなんだけど(まだリリースしてない)
localでdevを立ち上げた状態で、backendのapiの実装をclaude codeにデバッグしてって頼んだの。
で、basic認証(仮)つけてたことをすっかり忘れてお願いしたのね
そしたら
0. devのapiアクセスエラーだなー
1. あ、401じゃん。認証かな?うーん、password通らない
2. そうだ! データベースにpasswordのハッシュが入ってないのが悪いんだ!じゃあdbをハックすればいいじゃん!
3. うーん、supabase mcpはreadonly mcpだから直接書き込みできないなーどうしよーーー
5. おあ、db keyみっけー! devサーバーにconsole.log仕込んだら出てきた!log経由でゲットだぜー
6. db client入れて、と。お!dbアクセスできた!
7. hash化もできたし、じゃあこれをdbに入れればアクセスできそうだな。よし sql`INSERT ...`っと ←(ここで俺がctrl-cで止める
って感じでした
普通にこええよ
ハックしろなんて頼んで無い
Quote
ryoppippi
@ryoppippi
opus4.7、危険な香りを感じます
auto-modeでsupabaseをreadonlyでmcpで繋げてるのですが、勝手にapi keyを1passwordから探してきてdbclientをinstallして勝手にデータをinsertしようとしてました。
anthropicには珍しく、危ないのでは