AIに「アプリ作って」とお願いすると、数分で動くコードが返ってきます。画面も表示される、ボタンも押せる、データも保存される。「お、できた!」——ここで満足して、そのまま本番に出してしまう。

ちょっと待ってください。その「動いた」、本当に安全ですか?

未経験のうちは「動いた=完成」だと思いがちです。でも実際には、動くけど危険なコードというのが存在します。しかもAIは、頼まれた機能を実装することは得意でも、頼まれていない「安全性」までは気を利かせてくれないことが多いんです。

きつい言い方をすると、これからの時代に価値があるのは「速くコードを書けること」ではありません。AIが一瞬で書いてくれるからです。本当に価値があるのは、そのコードの危ない所を見抜ける目のほうです。

「動くけど危険」って、たとえばこんなコード

難しい話はしません。未経験のうちにこそ知っておきたい、よくある落とし穴を4つだけ。

1. パスワードやAPIキーがコードに直書きされている
AIが書いたコードに、外部サービスの「鍵」がそのまま埋め込まれていることがあります。これをそのまま公開すると、世界中の誰でもその鍵を使えてしまう。鍵は「環境変数」という別の場所に隠す、が基本です。

2. データベースが誰でも読める状態(保護なし)
たとえばSupabaseのようなサービスでは、最初は「誰でもデータを読み書きできる」設定になっていることがあります。RLS(行レベルセキュリティ)という保護をかけ忘れると、Aさんの個人情報をBさんが見られてしまう、なんてことも起こり得ます。

3. 入力チェックがない
「メールアドレスを入れてください」の欄に、変な文字列でも何でもそのまま受け取って保存してしまう。これが攻撃の入り口になることがあります。

4. エラーを握りつぶしている
エラーが起きても何事もなかったように進んでしまうコード。一見すると「動いている」ように見えるので、いちばん気づきにくい落とし穴かもしれません。

どれも、画面の上では「ちゃんと動いている」ように見えます。だからこそ怖いんです。

でも、難しくありません

ここで「セキュリティって専門知識がないと無理そう…」と引かないでください。

未経験のうちに必要なのは、全部を自力で直すことではありません。「これ、危ないかも?」と立ち止まれる感覚です。そして今は、その感覚を補ってくれる最強の相棒がいます。AIです。

コードを書いてもらったあと、こう一言添えるだけ。

「このコード、セキュリティ的に危ない所はない?初心者にも分かるように教えて」

これだけで景色が変わります。鍵が直書きされていれば指摘してくれるし、保護が足りなければ教えてくれることが多い。作るのもAI、チェックの相棒もAI。この使い方を覚えると、未経験でも「危なくないコード」にぐっと近づけます。

逆に、ここで「動いたからOK」のクセをつけてしまうと、後で必ず苦労します。趣味の練習アプリならまだしも、誰かに使ってもらうサービスで事故が起きてからでは遅いんです。

「速く書く力」より「危険を見抜く目」

私自身、仕事でAIにコードを書かせる場面は本当に増えました。でもそのぶん、人間の仕事は「書く」から「見極める・評価する」へとはっきり移っています。AIが出してきたものを、そのまま信じずに一段チェックする。この目があるかないかで、エンジニアとしての信頼が大きく変わると感じています。

そして嬉しいことに、この「見極める目」は、プログラミングを学ぶ過程で自然に育てられます。コードの書き方だけでなく、AIへの指示の出し方と、AIの出力をレビューする力が同時に身につく——これは、これからの時代にずっと使える財産になります。

面談なしで、今日から始められます

ここまで読んで「自分にもチェックの目を育てられそう」と思えたら、いっしょに学んでみませんか。

この講座は 未経験から Next.js + Supabase + Claude Code で Webアプリを公開するまで を全20セッションで体系化した教材付きプランです。無料相談を挟まず、申し込んだその日から教材で学習を始められます。AIが学習パートナーになって何度でも質問でき、つまずいた所だけチャットで直接サポートします。今回お話しした「危ないコードを見抜く目」も、手を動かしながら少しずつ育てていけます。

  • 今日から始める(教材完全版+月5,500円・チャット質問し放題・いつでも解約OK)→ https://menta.work/plan/20251?ref=menta-knowledge
  • いきなりは不安な方へ:無料の教材体験版もあります(最初の数セッション分)→ プラン詳細をご覧ください

「動いたからOK」を卒業する第一歩、今日から一緒に踏み出しましょう。