Дослідники з кібербезпеки RedAccess виявили масштабну проблему: тисячі додатків, створених за допомогою популярних платформ для вайб-кодування, майже не захищені та відкривають чутливі дані будь-кому в інтернеті.
Відомий експерт Дор Цві та його команда проаналізували тисячі веб-застосунків, написаних за допомогою сервісів вайб-кодингу: Lovable, Replit, Base44 та Netlify. Висновки виявилися невтішними, пише Wired.
Понад 5000 із проаналізованих додатків практично не мали жодної безпеки чи автентифікації. Багато з них давали змогу будь-кому, хто просто знайшов їхню адресу, отримати доступ як до самих додатків, так і до даних їхніх користувачів. Інші мали лише незначні перешкоди для такого доступу — наприклад, вимагали входу через будь-яку електронну адресу.
Близько 40% проаналізованих додатків розкривали конфіденційні дані — медичну інформацію, фінансові відомості, корпоративні документи, а також детальну історію розмов клієнтів із чат-ботами, контактну інформацію користувачів.
Окрім витоків даних, за допомогою сервісу вайб-кодингу Lovable масово створювалися фішингові сайти, які імітували відомі торгові марки та корпорації — Bank of America, Costco, FedEx і McDonald’s.
Журналісти Wired звернулись до всіх згаданих компаній по коментар. Netlify не відповів на запит. Три інші компанії спростували заяви дослідників і вказали, що їм не надали достатньо часу для відповіді — утім, жодна з них не заперечила, що знайдені RedAccess застосунки справді залишилися незахищеними.
Позиції сторін розділились. Генеральний директор Replit Амджад Масад написав у X, що основна претензія RedAccess зводиться до того, що деякі користувачі самостійно опублікували у відкритому доступі застосунки, які мали б залишатися приватними, — і що Replit дозволяє змінювати налаштування видимості в один клік.
Представник Lovable повідомив, що компанія серйозно ставиться до повідомлень про витоки та фішинг і активно розслідує ситуацію, але нагадав, що відповідальність за налаштування безпеки конкретного застосунку лежить на розробнику. У Wix, материнській компанії Base44, також наголосили, що платформа надає надійні інструменти безпеки, а виявлені вразливості є наслідком вибору конфігурації самим користувачем, а не проблемою платформи.
За словами Дора Цві, реально навчити увесь світ кібербезпеці — нереально: «Моя мама користується Lovable, і без образ, але я не вірю, що вона буде думати про рольовий доступ».
«Коли нетехнічна людина створює дивовижний застосунок, вона найчастіше не думає про безпеку і навіть не знає, що всередині, бо не писала код самостійно», — пояснює Амі Луттвак, технічний директор Wiz.
Проблема також закладена в архітектурі самих інструментів. Популярні ШІ-конструктори генерують фронтенд, який напряму звертається до хмарних сервісів на зразок Firebase або Supabase, використовуючи API-ключ, вбудований у клієнтський код. Самі сервіси надають механізми контролю доступу до даних, але розробники-початківці часто навіть не підозрюють про їхнє існування.
Нагадаємо, що Пентагон теж захопився вайб-кодингом: військові створили понад 100 000 ШІ-агентів за п’ять тижнів.
Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn
Стрімка популярність Claude — майже 290 мільйонів відвідувань веб-сайту на місяць — зробила його привабливою…
Стрімінговий сервіс Twitch видалив обліковий запис користувача, який під час прямих трансляцій рекламував азартні ігри.…
Месенджер Telegram отримав чергове оновлення з кількома помітними функціями. Головна новина — користувачі тепер мають…
Компанія Google анонсувала п'ять оновлень для своїх ШІ-функцій у пошуковій видачі — AI Overviews та…
Жорсткі переговори між засновниками стартапів рідко виносяться на публіку — особливо коли йдеться про компанію,…
Anthropic уклала угоду зі SpaceX, яка розширює обчислювальні потужності компанії. Для користувачів це відобразиться в…