KARHU Inc.

有限会社カルフ

KARHU Inc.

AI CLEANUP

AI実装の建て直し。
「動いているように見える」を、
「安心して任せられる」へ。

生成AI支援で作られたシステム(いわゆる vibe coding の成果物)の 監査・修正・引き継ぎを行います。私たち自身も日々の開発で AI を 使っているからこそ、AI 生成コードに典型的に潜む問題点を把握し、 実務として対応します。

こんな状況に対応します

  • 動いているが説明できない

    AIに作らせて動いてはいるものの、コードが追えず、何が起きているのか把握できない。改修や障害対応のたびに不安がある。

  • セキュリティが気になる

    何をチェックすれば良いか分からないまま公開している。鍵情報の管理、認証、外部からのアクセス制御の状態が不明。

  • データの所在が分からない

    ユーザー情報や業務データが、どのサービス・どのストレージに保存されているか、誰がアクセスできるかを把握できていない。

  • 規模が大きくなって動かない

    プロトタイプとしては動いていたが、データ量・ユーザー数が増えて応答が遅くなった、止まるようになった。

サービス内容

  • 健全性監査

    コードベース全体を読み解き、構造・依存関係・データフローを文書化します。第三者が把握できる状態を作るのが目的です。

  • セキュリティ診断

    認証・認可、シークレット管理、入力検証、データアクセス制御を確認し、優先度を付けて是正します。

  • データ所在マッピング

    何がどこ(DB、ストレージ、外部サービス、ブラウザのローカル)に保存され、誰の権限で読み書きされているかを可視化します。

  • 修正・リファクタリング

    動作不良の修正、共通化、過剰な抽象化や逆に重複しているロジックの整理。最低限のテストを足して再発を防ぎます。

  • 引き継ぎ可能な形への整理

    別の担当者・別のベンダーでも運用・改修できるよう、README、環境構築手順、構成図、運用手順を整備します。

  • 運用基盤の整備

    バックアップ、ログ・監視、デプロイ手順、開発環境と本番環境の分離。「動かし続けるための土台」を作ります。

AI実装でよく見る落とし穴

実際に現場でよく目にする問題を、隠さず挙げておきます。 ご自身のシステムに当てはまるものがあれば、まずはご相談ください。

  • 01

    認証チェックがフロントエンドだけ

    画面側で「ログインしていなければ表示しない」を実装しただけで、API は直接叩けば誰でも応答が返ってくる状態。ブラウザの開発者ツールから他人のデータを取得・更新できてしまう。

  • 02

    API キーやシークレットがクライアントに露出

    「環境変数に入れたから大丈夫」と思っていても、NEXT_PUBLIC_ や VITE_ プレフィックス、あるいはビルド時の埋め込みで、最終的にブラウザに丸ごと送られているケース。

  • 03

    Supabase / Firebase の行レベル権限が未設定

    「ログインしている自分のデータだけ見える/更新できる」というルール(RLS / Security Rules)が設定されていないまま公開され、ログインさえすれば他人のレコードまで読める/書ける状態。

  • 04

    CORS が全開放

    Access-Control-Allow-Origin が `*` のまま運用され、第三者のサイトから API を叩いてユーザー操作を引き起こすことが可能になっている。

  • 05

    エラーが try/catch で握り潰されている

    例外を全て捕まえて握り潰しているため、本番で何が起きているか痕跡が残らない。問題報告を受けてから調査を始めても、再現できず原因が分からない。

  • 06

    入力バリデーションがクライアント側のみ

    画面側のチェックだけで安心しているが、API を直接叩けば不正なデータを通せる。型違いや想定外の長さでデータが壊れる、SQL に問題のある文字列が紛れ込む等の原因になる。

  • 07

    本番データベースで開発が進んでいる

    ステージング環境がなく、開発時の試行錯誤がそのまま本番に反映される構造。一行のミスでユーザーデータが消える距離感で運用されている。

  • 08

    小規模データ前提のクエリ

    サンプルで動いていたコードが、レコード数が増えた途端に N+1 クエリや全件取得で破綻する。負荷試験せずに公開してしまい、ユーザー増加とともに不安定化する。

  • 09

    同じロジックが各所にコピペで存在

    AI に何度も同じことをやらせると、似ているが微妙に違うコードが何箇所にも生まれる。仕様変更時に一箇所だけ直して他が古いまま、というバグが発生しやすい。

  • 10

    依存パッケージのバージョン未固定

    lockfile が無視されている、あるいは ^ や ~ で緩い指定のまま放置され、再ビルドのたびに挙動が変わるリスクが残っている。

進め方

  1. 01

    ヒアリング

    現状の構成、お困りごと、ご希望のゴールをお伺いします。可能であればソースコードと管理画面を一通り見せていただきます。

  2. 02

    簡易調査

    1〜2日で一次調査を行い、リスクの所在と優先度、対応に必要な工数感を整理します。

  3. 03

    お見積り

    「監査・診断のみ」「監査+優先項目の修正」「全面的な建て直し」など、段階を分けてご提示します。

  4. 04

    実施・引き継ぎ

    合意した範囲を実施し、第三者が運用できる状態でお渡しします。継続保守も承ります。

お問い合わせ

「これは大丈夫だろうか」というぼんやりとした不安の段階で構いません。 まずはご相談ください。簡易調査までは無料で承ります。

なお、AI 実装に限らず「担当者が辞めてしまったが今動いている業務システムをなんとかしたい」 というご相談は 業務システムの引き継ぎ保守 をご覧ください。