AIの基礎
セクション 10 / 40
セキュリティ関連
鍵を外に置かない・他人のものを勝手に触らない
AIで物を作って公開するなら、最低限のセキュリティ知識は必須です。むずかしく考えず「鍵を外に置かない・他人のものを勝手に触らない」が基本。
① APIキー・パスワードは“鍵”。絶対に晒さない
APIキーは、サービスを使うための秘密の鍵です。コードやチャット、GitHubに直書きして公開すると、悪用されて高額請求や情報漏洩につながります。
最頻出の事故:キーをコードに書いて公開
鍵やパスワードは環境変数(.envファイルなど)に入れ、.gitignoreで公開対象から外します。「キーをコードに書いてGitHubに上げる」は本当によくある事故なので要注意。
② 個人情報・機密はAIに入れない
- 顧客の個人情報、社外秘、クレジットカード番号などは入力しない。
- 公開リポジトリに顧客データや
.envを含めない。
③ 入力を信用しない(公開アプリの基本)
公開アプリでは、利用者がどんな入力をしてくるか分かりません。悪意ある入力への備え(チェック=バリデーション等)が必要、という意識を持ちましょう。具体策はAIに任せてOKですが、「対策が要る」ことは知っておくこと。
④ 部品(パッケージ)の更新
他人が作った部品(パッケージ)を使うと便利ですが、弱点(脆弱性)が見つかることもあります。更新の警告が出たら直しましょう。
⑤ AIエージェントの権限は最小限に
エージェントに何でも実行させると事故が起きえます。危険な操作は承認制にし、信頼できないコードやリンクを安易に実行させないこと。
迷ったら一呼吸
「これは公開して安全?秘密が混ざってない?」と確認するクセを。判断に迷う設定は、AIに「これ、セキュリティ的に問題ない?」と聞くのも有効です。
理解度チェック
すべて正解すると、次のセクションが開きます(はい・いいえ)。
Q1.APIキーはコードに直接書いて、GitHubで公開しても問題ない。
Q2.パスワードやAPIキーは環境変数(.envなど)に入れ、公開対象から外すのが基本である。
Q3.AIエージェントには、危険な操作も含めてすべて無制限に実行させるのが安全である。
すべての問いに「はい・いいえ」で答えると押せます