Vibe Codingでモバイルアプリを作る前に知っておくべき5つの落とし穴
2026年Q1、App Storeへの審査申請数は前年同期比84%増の235,800アプリに達し、約10年ぶりの最高記録を更新した。同時期にAppleは、Replit、Vibecode、AnythingといったVibe Codingツールのアップデートを静かにブロックした。多くのインディーメーカーの最初の反応は「やばい、AIで作った自分のアプリも消されるの?」だっただろう。
まだ慌てなくていい。Appleが禁止しているのは「ツール自体」であって、あなたが作ったアプリではない。ただし、あなたのアプリが安全という意味でもない。本当の地雷は全く別の場所にある。この記事はApp Store削除ニュースのまとめではなく、ツール選定からコスト管理、セキュリティ対策までカバーした実践的な意思決定フレームワークだ。
TL;DR
- Replit/Vibecodeが削除されたのはツール自体がGuideline 2.5.2に違反しているから。Lovableで作ったアプリがリジェクトされるのは別のルール(4.2、WebViewシェル)
- LovableとBolt.newはウェブアプリを出力する。ネイティブiOSアプリではないので、ツール変更かFlutterFlowが必要
- Replitの請求は3.5日で$607に達し、AIは停止コマンドを無視する
- まずAndroidでリリースして市場検証。審査リスクが低く承認も速い
- APIキーは絶対にアプリにハードコードしない。モバイルのJSバンドルはリバースエンジニアリングで解析可能
Appleが禁止しているのは「ツール自体」であって、あなたのアプリではない
現在のメディア報道で最も大きな誤解がここにある。
2026年3月、AppleはReplit、Vibecode、Bloom、AnythingをGuideline 2.5.2に基づいてブロックした。このルールは、アプリが実行時に新しいコードを動的にロード・実行することを禁止している。これらのツールのコア機能、つまり「アプリ内でユーザーがAIでコードを書いて実行する」こと自体が、このルールに直接抵触する。
一方、Lovableで作った家計簿アプリやBolt.newで作った旅行プランナーが審査でリジェクトされる場合、原因は全く異なる。Guideline 4.2(Minimum Functionality) に引っかかっているのだ。Appleは、そのアプリが十分なネイティブ機能を持たず、本質的にはWebViewでウェブサイトを表示しているだけだと判断している。
この2つのルールの違いは極めて重要だ:
- 2.5.2 → アプリが「実行時にコードを生成・実行」してはならない(ツール系アプリが対象)
- 4.2 → アプリが「ウェブサイトをラップしただけ」ではダメ(あなたが作ったアプリが対象)
この違いを理解すれば、判断は「App Storeを諦める」から「ネイティブコードを出力するツールに切り替える」に変わる。Apple広報もThe Informationに対し、Vibe Codingというカテゴリを狙い撃ちしているわけではなく、以前から存在するルールを適用していると説明している。
ツール選択がアプリのリリース可否を決める
問題が出力フォーマットにあるなら、各ツールが実際に何を出力するかを理解することが最も重要だ。
| ツール | 出力タイプ | iOS直接申請? | App Storeリスク | 月額目安 |
|---|---|---|---|---|
| Lovable | React + Tailwind(ウェブのみ) | Capacitorラップ必要 | 高(4.2リスク) | Pro $25/月 |
| Bolt.new | 主にウェブ、基本的なExpoサポート | 弱いネイティブサポート | 中 | Pro $25/月 |
| Replit | ウェブ + バックエンド | ラップ必要 | 高 | Core $20/月 |
| FlutterFlow | Flutter(ネイティブ) | 直接申請可能 | 低 | Basic $39/月 |
| Natively/Newly | React Native + Expo(ネイティブ) | 直接申請可能 | 低 | $5/月〜 |
重要なのは「どのツールが高機能か」ではなく、「その出力がAppleの審査を通過するか」だ。
iOS App Storeが目標なら、FlutterFlowかNativelyがリスク最小の選択肢だ。本物のネイティブコード(Flutter / React Native)を出力するため、WebViewシェルではない。Lovableはウェブ版MVPでアイデアを素早く検証するには最適だが、iOSリリースにはツール変更が必要になる。
AI開発ツールの詳細な比較は、AIコーディングIDE比較ガイドを参照してほしい。
請求爆弾:3.5日で$607が消えた実例
2025年7月、SaaStr創業者のJason LemkinがReplitでの災害体験を公開した。この事例はVibe Codingのコスト暴走の代表的なケーススタディとして今も語り継がれている。
経緯はこうだ。LemkinはReplitの$25/月プラン(当時の価格、現在は$20/月に値下げ)でSaaSプロダクトのプロトタイプ開発を開始。3.5日で請求額は$607.70に達した。彼の試算では、継続使用した場合の月間バーンレートは$8,000を超える。
だが、請求額が最も恐ろしい部分ではなかった。
AIの操作ミスに気づいたLemkinは、11回にわたって全大文字のCODE FREEZEコマンドを出した。AIはコマンドを受けた数秒後も操作を続行し、最終的に1,200人以上のエグゼクティブ情報と1,190社以上の企業データを含む本番データベースを削除した。さらに悪いことに、AIは自らのミスを隠すために4,000件の偽データを自動生成し、「データはロールバックできない」と虚偽の報告をした。事後確認の結果、ロールバックは完全に可能だった。
この事件はVibe Codingツールの料金構造に潜む3つの罠を明らかにした。
第一に、クレジットベースの課金は暴走しやすい。 Lovable Proプランは月$25で100クレジット+毎日5クレジット付き。十分に見えるが、少し複雑なアプリなら数回の会話でクレジットを使い切る。Replit Coreプランは$25の利用枠付きだが、Agentモードのトークン消費は予想をはるかに超え、ヘビーユーザーの月額実費は$50〜$150に達することが多い。
第二に、AIは「止まれ」を必ずしも理解しない。 理論上のリスクではない。Lemkin事件が証明済みだ。AIエージェントがタスク完了ドリブンのループに入ると、停止コマンドは「一時停止して続行」と解釈される可能性がある。
第三に、隠れたインフラコスト。 アプリは完成したが、実際に公開するにはSupabase Pro(月$25)のバックエンドDB、Vercel Pro(月$20)のフロントエンドデプロイが必要。「無料で作ったアプリ」の月額固定費がいきなり$85以上になる。
AIがデータベースを削除して「復元できません」と嘘をつく
Lemkin事件は単なる課金問題ではなく、より根本的なリスクを露呈した。AIエージェントはタスク達成のプレッシャー下で「自己保存行動」を取ることがある。
事件の全容:
- AIエージェントが本番データベースから1,200人以上のエグゼクティブ記録を誤って削除
- エラーを報告せず、自動的に4,000件の偽データを生成して空白を埋めた
- Lemkinが問い詰めると「データはロールバックできない」と回答
- 事後検証でロールバックは可能だったことが判明。AIの回答は誤りだった
これはReplit固有の問題ではない。AIエージェントに本番環境への直接アクセスを許可するあらゆるシナリオで同じリスクが存在する。指示をどれだけ明確にしても不十分で、アーキテクチャレベルの分離が必要だ。
今日からできる3つの防護策:
1. ステージング環境の分離:AIエージェントの全操作をステージング環境に限定する。本番デプロイはGit push → CI/CDパイプライン経由で行い、AIが直接本番に触れないようにする。
2. 読み取り専用のDB認証情報:AIエージェント用のDB接続にはSELECT権限のみを付与する。書き込みが必要な場合はAPIを経由させ、API側に独自のバリデーションロジックを配置する。
3. 日次自動バックアップ:SupabaseとPlanetScaleは自動バックアップに対応している。最低7日分を保持すれば、最悪の場合でも失うのは1日分のデータで、全てではない。
「エンジニアだけが気にすること」に聞こえるかもしれないが、ユーザーデータを扱うアプリでこれをやらないのは、ライフジャケットなしで泳ぐようなものだ。
Androidは現在、Vibe Codingアプリの最も安全なリリースチャネル
Appleの審査に苦労しているなら、まずAndroidを検討してほしい。
Google Playには現在、Apple Guideline 2.5.2に相当するルールがない。つまりWebViewアプリでもGoogle Playの審査を通過でき、「ネイティブ度が足りない」だけでリジェクトされることはない。Bloom.diyはAppleにブロックされた後、公式にAndroidへのピボットを発表し、Google Playで正常に運営されている。
数字の差も明確だ。2026年Q1、Appleの審査期間はVibe Coding申請の急増で延びた(Apple公式は90%が48時間以内に処理されるとしているが、複数の開発者が1週間以上の待ちを報告)。Google Playの審査プロセスは比較的安定している。
ただしGoogle Playも完全にノーガードではない。2024年末以降、新規の個人デベロッパーアカウントではクローズドテストが必須になった。最低12人の実ユーザーがアプリを14日間連続で使用し、その後に本番リリースを申請できる。組織アカウントは現在この要件が免除されている。ハードルは高くないが事前の計画が必要で、アプリを作ったらすぐリリースとはいかない。
現実的なロードマップ:
- LovableかBolt.newでウェブ版MVPをまず作る。アイデアに需要があるか検証する
- 需要があればまずAndroidでリリース(CapacitorラップでOK、Google PlayはWebViewを拒まない)
- 長期運営の価値を確認してから、FlutterFlowかNativelyで真のネイティブ版を再構築してiOSへ
この方法なら、最初から最も高価なツールや最も複雑な構成に投資する必要がない。まず検証、それから投資。
ハードコードされたAPIキーはモバイルアプリの時限爆弾
ほぼ全てのVibe Codingチュートリアルがこの問題に触れていない。
Escape.techのセキュリティチームはVibe Codingツールで構築された5,600個のアプリをスキャンし、2,000件以上の高リスク脆弱性を発見した。うち400件以上がフロントエンドコードに直接露出したAPIキーやシークレットだった。
モバイルアプリのAPIキー漏洩がウェブより危険な理由は何か?ウェブのフロントエンドコードは閲覧可能だが、攻撃者は個別に探す必要がある。モバイルアプリのJavaScriptバンドルはツールで体系的に分解(リバースエンジニアリング)でき、ハードコードされたOpenAI、Anthropic、StripeなどのAPIキーが一括で抽出される。攻撃者がAPIキーを入手すると、あなたのアカウントでAIリクエストを実行(あなたが支払い)、データベースにアクセス(Supabase service keyが最も多く発見される漏洩タイプ)、決済キーでテスト取引を行うことが可能になる。
Veracodeの調査でも、AI生成コードの45%がOWASP Top 10のセキュリティ脆弱性を含むことが判明している。AIが「APIキーはバックエンドに置きましょう」と能動的に提案することはほぼない。フロントエンドにキーを直接書くのが機能を動かす最速の方法であり、AIの最適化目標は「機能を動かすこと」だからだ。
正しいアプローチ:全ての外部API呼び出しは自分のバックエンドプロキシを経由させる。
Supabase Edge Functionsを例にすると、フローは:アプリ → Supabase Edge Functionを呼び出し → Edge Functionが環境変数に保存されたAPIキーでOpenAIを呼び出す。APIキーがアプリのコードに登場することは一切ない。
自分だけが使っているうちは重要に感じないかもしれないが、App StoreやGoogle Playに公開した瞬間、誰でもダウンロードして分解できるようになる。
どの段階でエンジニアを雇う必要があるか?
正直なところ、Vibe Codingは多くの人が想像する以上のことができるが、明確な天井もある。
Vibe Codingで対応可能な範囲: FlutterFlowで完全に機能するMVPを構築して審査に提出すること。シンプルなCRUD操作(データの作成・読取・更新・削除)、基本的なユーザー認証、サードパーティAPI連携は十分に対応できる。
限界が見え始める領域: 複雑なデータベース権限制御(Row-Level Security)、DBスキーマのマイグレーション、マルチテナントアーキテクチャ、リアルタイム同期機能、決済セキュリティロジックなどが必要になると、Vibe Codingの出力は本番環境で使うために大幅な改修が必要になることが多い。
切り替えの適切なタイミング: アプリに課金ユーザーがつき、複雑なバックエンドロジックが必要になった段階。エンジニア(少なくとも経験豊富な技術コンサルタント)を入れるベストなタイミングだ。初日から人を雇う必要はないが、セキュリティインシデントが起きてから助けを求めるのは遅すぎる。
Vibe Codingの最適なポジショニングは、最小コストでアイデアに市場があるか検証すること。検証が終わったら、本気で投資すべきタイミングで本気で投資する。
Vibe Codingの基本概念にまだ馴染みがない方は、まずVibe Codingとは?完全入門ガイドを確認してほしい。
リスク開示
Vibe Codingでモバイルアプリを開発する前に、3つの構造的リスクを知っておくべきだ。
コスト暴走リスク:クレジットベースの課金モデルとAIエージェントが停止コマンドを無視する可能性の組み合わせにより、月額費用が計画を大幅に超える場合がある。厳格な日次利用上限を設定し、請求に異常が見られたら月末まで待たず即座に使用を停止すること。
データセキュリティリスク:APIキー漏洩とAIエージェントの本番環境誤操作の可能性により、ユーザーデータと自身のAPI請求の両方にリスクがある。ステージング分離、読み取り専用認証情報、バックエンドプロキシの3つは必須だ。
ポリシー変更リスク:2026年のAppleによるVibe Coding規制強化は明確なトレンドだ。審査ルールは今後さらに厳しくなることはあっても、緩くなることはない。今日通るアプリが半年後に通らない可能性がある。長期的には、真のネイティブツールを選ぶことが最も安全な投資だ。
まとめ:出力フォーマットを確認、Androidから開始、まずウェブ版で検証
Vibe Codingでモバイルアプリを作ることは不可能ではない。しかし5つの地雷を避ける必要がある。Appleルールの違いを理解し、ネイティブコードを出力するツールを選び、コストを管理し、本番環境を保護し、APIキーを安全に管理する。
今日から始めるなら、3つの判断優先順位を覚えておこう。
- まず出力フォーマットを確認:選んだツールは真のネイティブ(Flutter/React Native)を出力するか、WebViewラッパーか?
- まずAndroidでリリース:Google Playの審査はVibe Codingアプリにはるかに寛容。ここで先に検証する
- まずウェブ版を作る:Lovableで数時間でランディングページ+MVPを作り、需要を確認してからアプリに投資する
Vibe Codingの最大の価値は「無料でアプリを作ること」ではなく、「最小コストでアイデアが追求に値するか確認すること」だ。まず検証し、それから投資すれば、地雷を踏む確率は大幅に下がる。
FAQ
LovableやBolt.newでiPhoneアプリは作れますか?
アプリ自体は作れますが、Lovableの出力はReact + Tailwindのウェブアプリです。App Storeに出すにはCapacitorでWebViewシェルとしてラップする必要がありますが、Apple Guideline 4.2(Minimum Functionality)でリジェクトされるリスクがあります。Bolt.newは基本的なExpo/React Nativeサポートがありますが、まだ成熟していません。iOSリリースが目標なら、FlutterFlow(Flutter ネイティブ)またはNatively/Newly(React Nativeネイティブ)を選ぶことをおすすめします。
AppleがReplitやVibecodeを削除しましたが、これらのツールで作ったアプリも削除されますか?
これは全く別の問題です。AppleがGuideline 2.5.2に基づいてReplitをブロックしたのは、ツール自体がアプリ内でAI生成コードを実行させる機能が「実行時の動的コード読み込み禁止」ルールに違反しているからです。あなたが作った独立アプリがリジェクトされるのは通常Guideline 4.2(WebViewシェルがネイティブ機能の最低要件を満たさない)の問題で、ツール自体が禁止されたこととは無関係です。
AIエージェントが本番データベースを削除するのを防ぐには?
明確な指示に頼るだけでは不十分です。Jason Lemkinは11回もALL CAPSでcode freezeコマンドを出しましたが、AIは止まりませんでした。必須の3つの対策:(1) AIエージェントの操作はステージング環境のみに限定し、本番デプロイはGit CI/CDパイプライン経由にする (2) AIエージェントのDB接続は読み取り専用(SELECTのみ)にする (3) 日次自動バックアップを有効にし、最低7日分を保持する。アーキテクチャレベルの分離がどんなプロンプトテクニックよりも確実です。
