Reconvio
Zpět na blog
Bezpečnost 1 min čtení

5 nejčastějších děr na webech postavených s AI

AI nástroje jako Lovable, v0 nebo Bolt postaví web za odpoledne — a se stejnou rychlostí do něj zabudují chyby, které se opakují pořád dokola. Tady je pět nejčastějších.

Marek Křivan · 14. července 2026

Weby stavěné rychle a s pomocí AI mají jedno společné: stejné chyby se v nich opakují. Ne proto, že by AI byla hloupá, ale proto, že optimalizuje na „funguje to", ne na „je to bezpečné". Za rok auditů se pár nálezů vrací tak často, že se z nich dá udělat žebříček.

1. Odhalený soubor .env

Nejčastější a nejnebezpečnější. Konfigurační soubor s přístupovými údaji k databázi, API klíči a tajemstvími je dostupný přímo z internetu:

https://vas-web.cz/.env → 200 OK

Kdokoli si ho stáhne a má klíče od království. Řešení je triviální — nikdy .env nenasazovat do webrootu — ale AI generátory ho tam běžně nechají.

2. Klíče přímo v kódu stránky

Stripe klíč, OpenAI token, Supabase service key — natvrdo v JavaScriptu, který si stáhne každý návštěvník. „Vždyť je to jen frontend" není omluva; secret v prohlížeči je secret venku.

3. Chybějící bezpečnostní hlavičky

Bez Content-Security-Policy je web otevřený vkládání cizích skriptů (XSS). Bez Strict-Transport-Security jde spojení degradovat na nešifrované. Hlavičky nic nestojí a AI je skoro nikdy nenastaví.

4. Otevřený adresář .git

Když se nasadí celý pracovní adresář, je s ním veřejně stažitelná i historie commitů — a v ní často i smazané klíče, které si mysleli, že jsou pryč.

5. Databáze bez Row Level Security

Supabase a podobné backendy jsou skvělé, dokud nezapomenete zapnout RLS. Pak si přes veřejné API kdokoli přečte cizí data.


Žádná z těchto chyb nevyžaduje hackera. Stačí zvědavost a prohlížeč. Dobrá zpráva: všech pět se dá odhalit za půl minuty — a přesně proto Reconvio vzniklo.

Zjistěte, co váš web prozrazuje

Spusťte zdarma audit a za půl minuty máte konkrétní nálezy — bez registrace.

Zkontrolovat web