Post #319

Вот почему абсолютно каждый проект с ИИ надо проверять на безопасность!!! Для этого попросите ваш ИИ провести аудит безопасности вашего проекта. Результаты аудита безопасности 🛑КРИТИЧЕСКИЕ проблемы (исправить сейчас) 1. GitHub репо — PUBLIC Любой может видеть твой код, profile_context.json (имя, диагноз, вес, возраст). Это персональные медицинские данные. 2. API ключи в истории git Даже если .env в .gitignore, ключи были показаны в чате и могут попасть в логи. 3. Webhook открыт без ключа Если HEALTH_API_KEY не задан на Railway — /api/health принимает запросы от КОГО УГОДНО. Любой может подменить твои метрики. 4. Команды бота доступны всем /ask, /briefing, /today — не проверяют chat_id. Любой кто найдёт бота может получить твои данные. Хочешь чтобы я исправил что могу прямо сейчас? ▶️Сделать GitHub repo private (нужен gh CLI) ▶️Добавить chat_id проверку ко всем командам бота ▶️Сделать HEALTH_API_KEY обязательным (не запускать webhook без ключа) ▶️Убрать profile_context.json из git-истории Делаем?