27 maart 2026
API-sleutels in je code: de fout die bijna elke vibecoder maakt
Je hebt je app gebouwd met Cursor, Lovable of Bolt. Het werkt. Je bent klaar om live te gaan.
Maar ergens in die code staat waarschijnlijk iets als dit:
OPENAI_API_KEY=sk-proj-abc123...
SUPABASE_SERVICE_KEY=eyJhbGci...Als dat in je repository staat — ook in een privé repo — heb je een probleem.
Waarom is dit gevaarlijk?
API-sleutels geven toegang tot betaalde diensten op jouw naam. Als iemand jouw OpenAI-sleutel vindt, kan hij die gebruiken totdat jij de rekening krijgt. Dat kunnen honderden of duizenden euro’s zijn.
Bij Supabase of je database is het nog ernstiger: directe toegang tot alle data van jouw gebruikers.
Hoe gebeurt het?
AI-tools zijn geweldig in code schrijven, maar ze denken niet altijd na over waar die sleutels terechtkomen. Ze zetten ze soms hardcoded in de code, in een config-bestand dat in git terechtkomt, of in een .env bestand dat niet in .gitignore staat.
Wil je zeker weten dat jouw project schoon is?
Wij checken dit — en tientallen andere risico’s — in onze controle. Binnen 3 tot 5 dagen weet je precies waar je staat.
Wil je jouw project laten controleren?
Binnen 3 tot 5 dagen een concreet rapport van een echte developer.
Laat jouw project controleren →