Supabase、RLSを外したらcurlで全データ返ってきた

DRANK

!追記（2026-02-18）: 「AIにレビューさせたら気づけるのか？」を追加しました。聞き方で結果がまったく変わった本当にcurl一発で取れるのか【前編】Moltbook事件の記事を書いてるとき、ずっと気になってたことがある。「RLSなしだと本当にcurl一発で全データ取れるの？」Supabaseの無料枠でプロジェクトを作って試してみた。怖いくらいあっさり取れたDMを3件入れてみたSupabaseでプロジェクトを作って、messages というテーブルを作成。Moltbookで漏洩したDMを再現する形でテストデータを用意したidcontentauthor1例のAPIの件、キーもう発行した？太郎2うん、これ使って: sk-test-1234花子3え、ここで送って大丈夫？太郎カラムは id、content、author、created_at のシンプルな構成。右上に RLS disabled と出てるのが見えると思いますRLSなしの世界Supabaseでは、データベースへの接続情報（anon key）がブラウザの開発者ツールから見えます。これは仕様ですね。anon key だけでは本来何もできないようになってます。その先に RLS（行レベルセキュリティ）という関所がある——はずだったRLS OFF — 素通しRLS ON — 施錠この状態で Policies ページを開くと、こんな警告…