Кібербезпека

Тисячі "вайб-кодованих" застосунків викривають корпоративні та особисті дані

A

Andy Greenberg

5 хв читання

ПоділитисяTelegramFFacebookXXLLinkedInEmail
Ілюстрація, що зображує витік конфіденційних даних (медичні записи, фінансові графіки, корпоративні документи) з веб-застосунків, створених за допомогою ШІ-інструментів, у відкритий цифровий простір.

Зі зростанням використання штучного інтелекту для автоматизації програмування, кібербезпекова спільнота попереджала про потенційне збільшення вразливостей. Однак, як виявилося, інструменти для "вайб-кодування", що дозволяють будь-кому створювати веб-застосунки одним кліком, можуть призвести до повної відсутності безпеки, навіть для високочутливих корпоративних та особистих даних.

Масштабне викриття даних

Дослідник безпеки Дор Цві та його команда з кібербезпекової фірми RedAccess проаналізували тисячі "вайб-кодованих" веб-застосунків, створених за допомогою ШІ-інструментів Lovable, Replit, Base44 та Netlify. Вони виявили понад 5000 таких застосунків, які практично не мали жодних засобів безпеки чи автентифікації. Багато з них дозволяли будь-кому, хто знав їхню URL-адресу, отримати доступ до застосунків та їхніх даних. Інші мали лише тривіальні бар'єри, наприклад, вимагали входу з будь-якою електронною поштою.

За словами Цві, близько 40% цих застосунків викривали конфіденційні дані, включаючи медичну інформацію, фінансові дані, корпоративні презентації, стратегічні документи, а також детальні логи розмов клієнтів з чат-ботами. Цві зазначив, що це "одна з найбільших подій, коли люди викривають корпоративну або іншу конфіденційну інформацію будь-кому у світі".

Легкість виявлення та приклади

Пошук вразливих веб-застосунків виявився напрочуд легким. Оскільки Lovable, Replit, Base44 та Netlify дозволяють користувачам розміщувати свої застосунки на доменах самих ШІ-компаній, дослідники використовували прості пошукові запити в Google та Bing, комбінуючи домени цих компаній з іншими термінами.

Серед 5000 публічно доступних застосунків, Цві виявив близько 2000, які, після детальнішого огляду, містили приватні дані. Серед них були: робочі завдання лікарні з персональними даними лікарів, детальна інформація про закупівлю реклами компанії, презентація стратегії виходу на ринок іншої фірми, повні логи розмов чат-ботів роздрібного продавця з клієнтами (включаючи їхні імена та контактну інформацію), записи вантажів транспортної компанії, а також різноманітні продажні та фінансові записи інших компаній. У деяких випадках Цві міг отримати адміністративні привілеї та навіть видаляти інших адміністраторів.

Крім того, на домені Lovable Цві виявив численні фішингові сайти, що імітували великі корпорації, такі як Bank of America, Costco, FedEx, Trader Joe’s та McDonald’s, які, ймовірно, були створені за допомогою ШІ-інструментів.

Відповіді компаній-розробників ШІ-інструментів

На запит WIRED щодо висновків RedAccess, Netlify не відповіла. Інші три компанії відкинули звинувачення, стверджуючи, що дослідники не надали достатньо інформації або часу для відповіді. Однак вони не заперечували, що виявлені RedAccess веб-застосунки були викриті.

Генеральний директор Replit, Амджад Масад, заявив, що "Replit дозволяє користувачам вибирати, чи є застосунки публічними чи приватними. Доступність публічних застосунків в інтернеті є очікуваною поведінкою. Налаштування приватності можна змінити в будь-який час одним кліком".

Представник Lovable зазначив, що компанія "серйозно ставиться до звітів про викриті дані та фішингові сайти" і "активно працює над отриманням необхідної інформації для розслідування". Він також додав, що "Lovable надає розробникам інструменти для безпечної розробки, але конфігурація застосунку зрештою є відповідальністю творця".

Блейк Броді, керівник відділу зв'язків з громадськістю материнської компанії Base44, Wix, заявила, що "Base44 надає користувачам надійні інструменти для налаштування безпеки їхніх власних застосунків, включаючи контроль доступу та налаштування видимості". Вона додала, що "відключення цих елементів керування є навмисною, простою дією, яку може виконати будь-який користувач. Там, де застосунки були публічно доступними, це відображає вибір конфігурації користувача, а не вразливість платформи". Броді також стверджувала, що легко сфабрикувати застосунки, які виглядають так, ніби містять реальні дані, і без перевірених прикладів вони не можуть оцінити обґрунтованість цих тверджень. RedAccess, зі свого боку, заперечила, що не надала прикладів Base44.

Підтвердження витоків та ширший контекст

Цві зазначив, що для кількох десятків викритих веб-застосунків RedAccess зв'язалася з їхніми власниками, які підтвердили витік даних. RedAccess також поділилася з WIRED анонімізованими повідомленнями, які показували, як користувачі Base44 дякували дослідникам за попередження про викриті веб-застосунки, які потім були захищені або видалені.

Джоел Марголіс, дослідник безпеки, підтверджує, що проблема викриття даних ШІ-застосунками є "дуже реальною". Він часто стикається з подібними витоками. За його словами, люди з маркетингових команд, які не є інженерами і не мають знань у сфері безпеки, створюють веб-сайти за допомогою ШІ-інструментів. Ці інструменти "роблять те, що ви просите їх зробити. І якщо ви не попросите їх зробити це безпечно, вони не будуть цього робити".

Цві порівнює поточний потік витоків даних з епідемією викритих даних, спричиненою неправильними налаштуваннями сховищ Amazon S3 у попередні роки. Він стверджує, що інструменти для "вайб-кодування" створюють хвилю витоків даних через поєднання помилок користувачів та відсутності запобіжних заходів. Більш фундаментальною проблемою, на його думку, є те, що ці інструменти дозволяють новому класу людей в організаціях створювати застосунки, часто з низьким рівнем обізнаності щодо безпеки та поза звичайними процесами розробки програмного забезпечення, які компанії використовують для перевірки застосунків перед їх випуском. "Будь-хто з вашої компанії в будь-який момент може згенерувати застосунок, і це не проходить жодного циклу розробки чи перевірки безпеки. Люди можуть просто почати використовувати його у виробництві, нікого не питаючи. І вони це роблять", – підсумовує Цві.

Що це означає для розробників

Ця новина підкреслює зростаючу проблему безпеки, пов'язану з використанням ШІ-інструментів для розробки застосунків, особливо не-розробниками. Розробникам слід враховувати, що такі інструменти можуть створювати застосунки без вбудованих механізмів безпеки, що вимагає додаткової уваги до конфігурації та процесів перевірки.

Ключові факти

  • Дослідження RedAccess виявило понад 5000 веб-застосунків, створених за допомогою ШІ-інструментів Lovable, Replit, Base44 та Netlify, які не мали належного захисту.

  • Близько 40% цих застосунків викривали конфіденційні дані, включаючи медичну та фінансову інформацію, корпоративні документи та логи розмов чат-ботів.

  • Застосунки були легко доступні через їхні URL-адреси або мали лише тривіальні бар'єри доступу.

  • Дослідники також виявили фішингові сайти, що імітували великі корпорації, створені за допомогою ШІ-інструментів.

  • Компанії-розробники ШІ-інструментів (Replit, Lovable, Base44) заперечили відповідальність, посилаючись на вибір користувачів щодо налаштувань приватності та безпеки.

Джерела

Джерело

WIREDAndy Greenberg

Thousands of Vibe-Coded Apps Expose Corporate and Personal Data on the Open Web

7 травня 2026 · оновлено 7 травня 2026

Оригінал

Попередні статті

Візуалізація агентного штучного інтелекту Genie Code, який взаємодіє зі складними конвеєрами даних, перетворюючи природну мову на автоматизовані процеси інженерії даних.
21 травня 2026Дані та аналітика

Genie Code та Lakeflow: Агентний підхід до інженерії даних

Genie Code від Databricks дозволяє інженерам даних створювати, оркеструвати та налагоджувати конвеєри даних за допомогою природної мови, скорочуючи час розробки з тижнів до годин та забезпечуючи відповідність стандартам.

Ілюстрація, що зображує людину, яка працює зі складним дашбордом візуалізації даних на екрані, де відображаються карти Філіппін з накладеними даними, графіки та таблиці. Навколо екрану та користувача видно абстрактні елементи, що символізують ШІ-агентів, які допомагають у кодуванні та аналізі даних.
21 травня 2026Розробка ПЗ

Vibe-кодування складного дашборду: Уроки з розробки візуалізації та аналізу даних

Автор ділиться досвідом створення дашборду для аналізу даних Національного демографічного та медичного опитування Філіппін за допомогою ШІ-агентів. Проєкт показав, як ШІ спрощує рутинні завдання, але вимагає людського контролю та архітектурного підходу.

Ілюстрація, що символізує злам репозиторіїв GitHub, із зображенням коду та елементів кібербезпеки.
21 травня 2026Кібербезпека

Злам GitHub: Тисячі репозиторіїв скомпрометовано через розширення Visual Studio Code

Хакери викрали дані з тисяч репозиторіїв GitHub після того, як співробітник використав заражене шкідливим ПЗ розширення Visual Studio Code. Група TeamPCP взяла на себе відповідальність за атаку.

Наступні статті

Ілюстрація, що зображує молоду жінку, яка працює з даними, оточену елементами, що символізують науку про дані та медицину, підкреслюючи її роль у покращенні охорони здоров'я.
21 травня 2026Дані та аналітика

Студентка Purdue перетворює стажування в Eli Lilly на кар'єру в покращенні доступності охорони здоров'я

Джордан Рейнольдс, студентка останнього курсу Університету Пердью, поєднує науку про дані та прикладну статистику з біоінформатикою, щоб покращити доступність медичної допомоги. Вона приєднається до Eli Lilly як інженер програмних продуктів.

Абстрактна ілюстрація, що показує потік даних через етапи збору, зберігання, обробки та аналізу, з елементами хмарної інфраструктури на задньому плані.
21 травня 2026Дані та аналітика

Інженерія даних та DataOps: Основи для розуміння

Інженерія даних є ключовою галуззю, що забезпечує збір, зберігання, обробку та аналіз великих наборів даних. Цей матеріал розкриває її важливість, роль у сучасних бізнес-моделях, типи баз даних, процеси ETL, відмінності між OLTP та OLAP, а також вплив хмарних технологій та сучасного стека даних.

Комп'ютерні науки проти аналізу даних: порівняння дисциплін
21 травня 2026Дані та аналітика

Комп'ютерні науки проти аналізу даних: порівняння дисциплін

Технічні навички користуються високим попитом, що зумовлено розвитком штучного інтелекту, хмарних обчислень та науки про дані. Цей матеріал порівнює комп'ютерні науки та аналіз даних, розглядаючи їхні основні напрямки, необхідні навички, кар'єрні шляхи та відмінності, попри значне перетинання.