AI製Webアプリのための健診

あなたの AI 製 Web アプリ、
“出てはいけないもの”
出ていませんか?

Claude Code / Cursor / Codex で書いた Web アプリに .env / API キー / CLAUDE.md / ソースマップ が漏れていないかを、所有権確認のうえまもりんと全項目で健診。5 分で完了します。

  • ✓ 完全無料
  • ✓ IP はハッシュのみ保存
  • ✓ 検出した秘密情報の中身は保存しません
今日の健診担当 まもりん 出てはいけないものを、いっしょに見つけます。
利用規約とプライバシーポリシーに同意して健診します

送信すると利用規約プライバシーポリシーに同意したものとみなします。自身が所有・運用していないドメインの健診は禁止です。

このサービスが検出する 160 項目

AI 製 Web アプリで実際に漏れがちな 4 領域を、所有権を確認したうえで全項目チェックします。

19項目

漏洩ファイル

公開すべきでない設定・認証ファイルが Web からアクセスできる状態。

  • .env / .env.production / .env.local
  • Firebase / GCP サービスアカウント JSON
  • SSH 秘密鍵、データベースダンプ
  • .git ディレクトリ、ソースマップ
  • バックアップアーカイブ、ログ
37項目

API キー・シークレット

フロント JS や HTML に埋め込まれてはいけない秘密情報。

  • OpenAI / Anthropic API キー
  • AWS / Stripe(sk_live_)/GCP
  • Supabase service_role キー
  • GitHub / Slack / Discord トークン
  • JWT 秘密鍵、Sentry DSN 等
34項目

AI 開発ツール設定

Claude Code / Cursor / Codex 等で生成されがちな設定ファイル。

  • CLAUDE.md / AGENTS.md / .mcp.json
  • .claude/ / .codex/ 設定ディレクトリ
  • .cursorrules / .cursor/ / .clinerules
  • v0 / Bolt 系の生成 artifact
  • Next.js / Vite / TS 設定の本番混入
70項目

セキュリティ設定・誤構成

ヘッダ・管理画面・公開設定の取りこぼし。

  • HSTS / CSP / X-Frame-Options 未設定
  • phpinfo.php / .DS_Store の露出
  • phpMyAdmin / Adminer / Storybook 放置
  • デバッグ・管理エンドポイント放置
  • X-Powered-By / Server ヘッダ情報開示
重要度別の内訳を見る CRITICAL 61 / HIGH 49 / MEDIUM 45 / INFO 5

🔴 CRITICAL(61 項目)

  • .env / .env.* / バックアップ系
  • Firebase / GCP サービスアカウント JSON
  • AWS 認証情報、SSH 秘密鍵
  • データベースダンプ
  • Stripe / OpenAI / Anthropic / AWS / GitHub / Slack の API キー(35 種)
  • Supabase service_role キー

🟠 HIGH(49 項目)

  • .git/ ディレクトリ露出
  • ソースマップ(.map)
  • CLAUDE.md / .claude/ / .mcp.json
  • Cursor ルール(.cursorrules)
  • Next.js / Vite / TypeScript 設定
  • docker-compose / Dockerfile
  • セキュリティヘッダ未設定(HSTS / CSP / X-Frame-Options 等)

🟡 MEDIUM(45 項目)

  • デバッグ・管理エンドポイント放置
  • phpinfo.php / .DS_Store
  • バックアップアーカイブ / ログファイル
  • phpMyAdmin / Adminer の放置
  • Storybook の本番公開
  • robots.txt の Disallow が逆に隠しパスを暴露

🔵 INFO(5 項目)

  • Stripe 公開可能キー(pk_live_)の露出
  • Supabase anon キー(RLS 設定要確認)
  • X-Powered-By / Server ヘッダによる情報開示
  • 機密ページの Cache-Control: public

健診の流れ

  1. 健診したいドメインを入力(=受付)
  2. 所有権を確認(ファイル設置/メタタグ/DNS TXT のいずれか 1 つ。発行された確認コードは 7 日間有効
  3. 全項目を一括健診
  4. 検出項目ごとの対処ガイド付きで結果を表示

※ 所有権が確認できたドメインのみ健診します。他人のサイトは健診できません。

よくある質問

AIコード診断とAIコード健診の違いは?

同じツールを指します。正式名称は「AIコード健診(AI Code Kenshin)」で、AI生成コードのセキュリティ診断・脆弱性チェックを行う無料サービスです。

Claude Code や Cursor で作ったアプリのセキュリティが心配。どう確認すればいいですか?

本サービス(AIコード健診)でドメインを入力し、所有権確認を経たうえで診断できます。.env / API キー / CLAUDE.md / .cursor 設定 / .clinerules など、AI コーディングツール特有のファイル露出をすべての項目でスキャンします。完全無料で 5 分程度で完了します。

Web サイトに API キーや .env が漏れていないか確認できる無料ツールはありますか?

AIコード健診は OpenAI / Anthropic / Google AI / AWS / Stripe / Supabase / Firebase など主要サービスの API キーがフロント JS に埋め込まれていないか、.env や設定ファイルが Web 公開ディレクトリに置かれていないかを無料でチェックできます。

Vibe Coding(v0 / Bolt / Lovable)で生成したアプリのセキュリティチェックは?

本サービスは Vibe Coding 系 SaaS(v0 / Bolt / Lovable / Replit Agent 等)の生成物が公開されたときに発生しがちな漏洩パターン(Supabase service_role キー / NEXT_PUBLIC バンドル混入 / ソースマップ露出など)を専用カテゴリで検出します。

診断は本当に無料ですか?登録は必要ですか?

完全無料、ユーザー登録は不要です。診断対象ドメインの所有権確認(ファイル設置 / メタタグ / DNS TXT のいずれか)のみ必要で、第三者サイトへの無断スキャンはできない設計になっています。

検出した秘密情報の中身は保存されますか?

保存しません。検出項目の ID と検出有無のみを記録し、API キーやパスワードなどの中身は一切サーバーに保存しません。IP アドレスはハッシュ化したうえで保存しています。詳細はプライバシーポリシーをご確認ください。

FOR 法人ご担当者さま

AI を“ちゃんと”業務に組み込みたい組織へ。

健診で出てくるのは「今この瞬間に漏れているもの」だけ。組織として AI を使いこなすには、業務設計・運用ルール・社員教育・規程づくりまで一気通貫で整える必要があります。

コレットラボは、AI を“ツール”として現場に定着させる AX(AI Transformation) を支援。スポット修正ではなく、業務設計から定着までの伴走まで対応します。

  • 業務設計&運用ルール策定
    どこを AI で置き換えるかの設計
  • 社員教育・規程づくり
    シャドー AI を防ぐ社内ルール整備
  • 定着までの伴走
    導入で終わらせない運用支援
コレットラボに相談する

無料相談・初回ヒアリング歓迎/※ 個人の方はご相談を受け付けておりません。