コントロールを失わない Vibe Coding
非技術者向けの実践ガイド:AI コーディングツールを使うときに要件を分割し、権限とデータを管理し、基準に対して成果物を検証し、デプロイとロールバックを計画する方法。
Vibe coding はデモまでは速くたどり着けます。コントロールを失うのはたいてい後になってから起こります。要件が曖昧なまま、権限が広すぎたまま、データが雑なまま、「自分の画面では動いた」で終わり、ロールバック計画がない、といった形です。
このガイドは 非技術者のビルダー と、AI ビルダーやエージェントを使う混成チームのためのものです。目標は一夜にしてフルタイムのエンジニアになることではありません。目標は、公開するものへのオーナーシップを保ち続けることです。
直接的な回答
- プロンプトを打つ前に受け入れ基準を書く。
- 権限とシークレットを絞る。
- 動作を検証するまで、AI の出力は下書きとして扱う。
- ロールバック手段がある場合のみデプロイする。
- 公開ユーザーが来る前に ship checklist を使う。
まず AI Coding ハブ でツールとモデルの見取り図を確認し、公開前にローカルの ship checklist を使ってください。
このガイドが役立つ場面
- 自然言語でプロダクトのアイデアを説明し、AI にアプリや大きなパッチを生成させている。
- デモは操作できるが、何を公開しても安全なのか自信がない。
- AI の出力をレビューする開発者と一緒に働いていて、共通の言葉が必要。
- すでに脆いものを公開してしまい、次のリリースはもっと落ち着いて進めたい。
まずツールを選びたい場合は AI coding ツールの選び方 を読んでください。エージェント向けのプロジェクト指示を管理している場合は AI coding プロジェクトルール に進んでください。
アイデアをコントロール可能な単位に分割する
ビルダーやエージェントを開く前に、4 つの短いリストを書きます。
| リスト | 例 |
|---|---|
| 必ず動くもの | ログイン、アイテム作成、1 回の支払い、メール受領通知 |
| 対象外 | 多言語対応、管理者向け分析、ダークモード |
| リスクの高い領域 | 決済、パスワード、個人データ、ファイルアップロード |
| 完了の定義 | 特定の画面 + 1 つの正常系パス + 1 つの失敗系パス |
一度に 1 スライスずつ プロンプトします。「マーケットプレイス全体を作って」は、壊れた部分を隠したデモを生み出します。「ログアウト機能付きのメール/パスワードログインと、ロックされた設定ページを追加して」なら検証しやすくなります。
権限とアクセス
誰が何をできるかを確認します。
- ゲスト vs ログインユーザー vs 管理者
- セッションが期限切れになったときに何が起きるか
- AI が作った管理者ページが公開状態で露出していないか
- API キーがサーバー側だけに保存されているか
権限の設定画面を理解できない場合は、そこで手を止めてください。広すぎるデフォルト設定は、vibe coding によくある失敗パターンです。
気軽にプロンプトへ貼ってはいけないデータ
以下は雑談的なチャットプロンプトに入れないでください。
- 実際の顧客リスト
- 本番のパスワードや API キー
- 医療、金融、身分に関する個人情報の文書
.envファイルのシークレット
デモには偽のサンプルデータを使ってください。プロンプトに貼ってしまった可能性のあるキーは必ずローテーションします。可能であればコードをローカルで処理するツールを優先してください——DevCove のブラウザツールにおけるプライバシー重視の姿勢も参考になります。
受け入れ:褒めるのではなく証明する
必ず動くべき各項目について。
- 自分で正常系パスをクリックして確認する。
- 1 つの失敗を意図的に発生させる(間違ったパスワード、空のフォーム、サンドボックスでのカード拒否など)。
- ユーザーがスマートフォンを使うなら、モバイル幅も確認する。
- 何が壊れたかを平易な言葉で書き残す。
何かが失敗したときは、「壊れています」で終わらせず、bug report packet builder のような構造化されたハンドオフを使ってください。
デプロイとロールバック
公開の前に、次に答えてください。
- アプリはどこで動いているか?
- 新しいバージョンはどうやって公開するか?
- 直前の正常なバージョンにどうやって戻すか?
- DNS、課金、データベースは誰が管理しているか?
ロールバックできないなら、デモがどれだけ洗練されていても、実際のユーザーを受け入れる準備はできていません。
落ち着いた vibe coding のループ
- スライスと受け入れ基準を書く。
- 制約と偽データを与えて AI にプロンプトする。
- 正常系と失敗系のパスをクリックして確認する。
- 可能であればビルドやチェックを実行、または依頼する。
- ship checklist を完了させる。
- ロールバックの担当者を決めた上でデプロイする。
- そのあとでスコープを広げる。
限界
- このガイドを読んでもセキュリティエンジニアになれるわけではありません。
- ビルダーやエージェントは急速に変化します。現在のプロダクト設定は必ず確認してください。
- 決済や機密データを扱うプロダクトの一部は、専門家によるレビューが必要です。
FAQ
Vibe coding は「本物の」エンジニアリングなのか?
本物のソフトウェアを生み出すことはできます。それでも公開には検証、オーナーシップ、ロールバックが必要です——エンジニアがすでに担っている責任と同じものです。
プロジェクトルールファイルは省略してもいい?
ごく小さな個人的なデモなら、それでもよいかもしれません。共有される、または長く使われるものには、短いルールがエージェントの気まぐれな振る舞いを減らします。詳しくは AI coding プロジェクトルール を参照してください。