Темний бік вайб-кодування: тисячі згенерованих програм зливають дані у відкритий доступ

Дослідники з кібербезпеки RedAccess виявили масштабну проблему: тисячі додатків, створених за допомогою популярних платформ для вайб-кодування, майже не захищені та відкривають чутливі дані будь-кому в інтернеті.

Відомий експерт Дор Цві та його команда проаналізували тисячі веб-застосунків, написаних за допомогою сервісів вайб-кодингу: Lovable, Replit, Base44 та Netlify. Висновки виявилися невтішними, пише Wired.

Понад 5000 із проаналізованих додатків практично не мали жодної безпеки чи автентифікації. Багато з них давали змогу будь-кому, хто просто знайшов їхню адресу, отримати доступ як до самих додатків, так і до даних їхніх користувачів. Інші мали лише незначні перешкоди для такого доступу — наприклад, вимагали входу через будь-яку електронну адресу.

Які дані потрапляли у відкритий доступ

Близько 40% проаналізованих додатків розкривали конфіденційні дані — медичну інформацію, фінансові відомості, корпоративні документи, а також детальну історію розмов клієнтів із чат-ботами, контактну інформацію користувачів.

Окрім витоків даних, за допомогою сервісу вайб-кодингу Lovable масово створювалися фішингові сайти, які імітували відомі торгові марки та корпорації — Bank of America, Costco, FedEx і McDonald’s.

Як платформи відреагували

Журналісти Wired звернулись до всіх згаданих компаній по коментар. Netlify не відповів на запит. Три інші компанії спростували заяви дослідників і вказали, що їм не надали достатньо часу для відповіді — утім, жодна з них не заперечила, що знайдені RedAccess застосунки справді залишилися незахищеними.

Позиції сторін розділились. Генеральний директор Replit Амджад Масад написав у X, що основна претензія RedAccess зводиться до того, що деякі користувачі самостійно опублікували у відкритому доступі застосунки, які мали б залишатися приватними, — і що Replit дозволяє змінювати налаштування видимості в один клік.

Представник Lovable повідомив, що компанія серйозно ставиться до повідомлень про витоки та фішинг і активно розслідує ситуацію, але нагадав, що відповідальність за налаштування безпеки конкретного застосунку лежить на розробнику. У Wix, материнській компанії Base44, також наголосили, що платформа надає надійні інструменти безпеки, а виявлені вразливості є наслідком вибору конфігурації самим користувачем, а не проблемою платформи.

Чому це системна проблема

За словами Дора Цві, реально навчити увесь світ кібербезпеці — нереально: «Моя мама користується Lovable, і без образ, але я не вірю, що вона буде думати про рольовий доступ».

«Коли нетехнічна людина створює дивовижний застосунок, вона найчастіше не думає про безпеку і навіть не знає, що всередині, бо не писала код самостійно», — пояснює Амі Луттвак, технічний директор Wiz.

Проблема також закладена в архітектурі самих інструментів. Популярні ШІ-конструктори генерують фронтенд, який напряму звертається до хмарних сервісів на зразок Firebase або Supabase, використовуючи API-ключ, вбудований у клієнтський код. Самі сервіси надають механізми контролю доступу до даних, але розробники-початківці часто навіть не підозрюють про їхнє існування.

Нагадаємо, що Пентагон теж захопився вайб-кодингом: військові створили понад 100 000 ШІ-агентів за п’ять тижнів.

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn