ここはサボってはいけないと感じた

「あ、便利そう 🤩」と感じたOSSのプラグインやMCP Serverをそのまま使っていませんか？
Vibe Codingで作られ、誰がセキュリティを見ているのか分からないOSSも最近増えてきました。
そんな中でリスクを無視し「動けば OK」と投入した結果、トークン漏洩・バックドアで泣く悲劇は今後増えると予想しています。

エンジニアとして、この問題を無視して迂闊に推進することも、冷笑してノータッチで過ごすことも良くないと思っています。なぜなら、

僕達が享受している自由は、先人たちの 信頼と責任 の上に成り立っているから

です。手を抜けば、巡り巡って自分の首を絞める─そんな危機感を感じています。

では、どうやって負荷をかけずに担保するか？
それが Claude Code に脆弱性診断を任せ、人間がサクッとレビュー するプロセスです。

やり方

# 1️⃣ リポジトリを clone
$ git clone https://github.com/czlonkowski/n8n-mcp.git
$ cd n8n-mcp

# 2️⃣ Claude Code に脆弱性診断を依頼
$ claude
> ultrathink. このXXXは社外のエンジニアが作ったOSSアプリケーションです。深刻な脆弱性、特にトークンの露呈や権限周りで攻撃される可能性やバックドアが仕込まれている可能性はないかをセキュリティエンジニアとして隅から隅まで調べてください。もし、怪しい部分があればo3に相談するなどしてCVEの情報を逐次確認してください。

# 3️⃣ 結果を目視チェック

• XXXのところにプラグインやmcp serverなど適当な言葉を都度入れています。
• 最新のCVE情報と同期するためにo3-search MCP Serverを使っています。
• ルートのCLAUDE.mdは付録に記載しています。

やってみた：n8n-MCP を診断

n8n-mcpが流行りそうなので、利用可否をチェックさせてみました。
https://zenn.dev/ryorn/articles/a6dc96dc425669

↓Claude Codeが生成したレポート開始↓

↑Claude Codeが生成したレポート終了↑

脆弱性が見つかったらどうする？

1. 使わない ― まずは撤退ラインを決める
2. 周知徹底 ― Slack / Teams で「⚠️ 触るな」アナウンス
3. Issue / PR ― 開発者と協力しつつ修正
4. 自前フォーク ― MIT ライセンスなら Claude Code で自分用に fork

小さいものなら、Claude Codeで自分用に作らせることが多いです。

おわりに

新しい OSS を触るワクワクを保ちながら最低限の安全も担保できるので、このやり方はコスト以上の価値があると感じています。
しかも今後は間違いなくルーチン化する作業なので、早い段階で n8n などでワークフローごと自動化してしまうつもりです。

それでは、良い開発ライフを！

付録

ルートのCLAUDE.mdはこちらを利用しています。
良いと話題になったものをいくつか魔合体している感じです。
細部まで効いているかは要検証ですが、そんなに悪くない感覚です。

• Kent Beckのテンプレ
• ルールを忘れてないようにするプロンプト
• o3をMCPとして利用する
• vibe logger