Кібербезпека

«Вайб-кодування» спричиняє тисячі вразливостей у безпеці даних, – дослідження

W

Will McCurdy

2 хв читання

ПоділитисяTelegramFFacebookXXLLinkedInEmail
Ілюстрація, що зображує хаотичну мережу веб-додатків, створених за допомогою ШІ, з яких витікають конфіденційні дані, символізуючи проблеми безпеки «вайб-кодування».

Зростання «вайб-кодування» та його ризики

«Вайб-кодування» (vibe coding), що дозволяє користувачам без технічних навичок створювати програмні додатки за допомогою штучного інтелекту, набуло значної популярності. Це дає змогу нерозробникам створювати додатки за лічені години. Однак, кібербезпекова фірма RedAccess виявила потенційні вразливості в безпеці, пов'язані з цим підходом.

Висновки RedAccess

У дослідженні, вперше оприлюдненому Wired, команда під керівництвом дослідника безпеки Дора Цві ідентифікувала 5000 веб-додатків, створених за допомогою інструментів «вайб-кодування» на основі ШІ, таких як Lovable, Replit, Base44 та Netlify. Ці додатки «практично не мали жодної безпеки чи аутентифікації». RedAccess стверджує, що в деяких випадках будь-хто, хто знаходив правильну веб-URL-адресу, міг отримати доступ до додатків та їхніх даних. Інші додатки мали «лише тривіальні бар'єри» для доступу до даних, наприклад, вхід за допомогою «будь-якої електронної пошти».

Дор Цві додав, що у 40% випадків додатки розкривали конфіденційну інформацію. Серед виявлених даних були робочі завдання лікарень, що містили особисті дані лікарів, презентації стратегій виходу на ринок компаній, а також дані про продажі та фінансові записи різних компаній.

Перспектива експертів

Дослідник безпеки Джоел Марголіс окреслив деякі проблеми, пов'язані з демократизацією доступу до розробки додатків. Він зазначив, що «хтось із маркетингової команди хоче створити веб-сайт. Вони не інженери, і, ймовірно, мають мало або зовсім не мають досвіду чи знань у сфері безпеки». Марголіс додав, що якщо ці інструменти не просять створювати безпечні додатки, «вони не будуть докладати зусиль для цього».

Заперечення компаній

Багато компаній, згаданих у дослідженні, висловили заперечення. Наприклад, Блейк Броді, представник Wix (власника Base44), повідомив Axios, що RedAccess «навмисно приховав URL-адреси, які дозволили б нам ідентифікувати та вивчити відповідні додатки». Крім того, він заявив, що додатки, які, як повідомляється, були скомпрометовані, були «навмисно встановлені як публічні їхніми власниками». Броді також повідомив Wired, що два приклади веб-сайтів, створених за допомогою Base44, які йому показали, виявилися тестовими сайтами або містили дані, згенеровані ШІ.

Тим часом, Сам'ютха Редді, представниця Lovable, повідомила Axios, що дослідження RedAccess не містило «жодних URL-адрес або технічних деталей, які дозволили б нам перевірити, розслідувати або діяти відповідно до описаних висновків», хоча компанія заявила, що розслідує інцидент.

Що це означає для розробників

Ця новина підкреслює ризики, пов'язані зі створенням додатків нетехнічними користувачами за допомогою інструментів ШІ без належних знань про безпеку. Розробникам варто враховувати, що такі інструменти можуть генерувати код з критичними вразливостями, якщо не передбачено явних вимог до безпеки.

Ключові факти

  • «Вайб-кодування» дозволяє нетехнічним користувачам створювати додатки за допомогою ШІ.

  • Фірма RedAccess виявила 5000 «вайб-кодованих» веб-додатків з «практично відсутньою безпекою чи аутентифікацією».

  • Додатки були створені за допомогою Lovable, Replit, Base44 та Netlify.

  • Деякі додатки були доступні за правильною URL-адресою, інші мали «тривіальні бар'єри» (наприклад, вхід з будь-якою електронною поштою).

  • У 40% випадків додатки розкривали конфіденційну інформацію, включаючи особисті дані лікарів, стратегії компаній та фінансові записи.

Джерела

Джерело

PCMAGWill McCurdy

Vibe Coding Is Causing ‘Thousands’ of Data Security Vulnerabilities

9 травня 2026

Оригінал

Попередні статті

Журналіст переглядає дані на екрані, поруч з ним абстрактне зображення штучного інтелекту, що символізує обробку інформації та співпрацю в розслідувальній журналістиці.
21 травня 2026Штучний інтелект

Як AI-агенти з кодуванням можуть покращити журналістські розслідування: Дослідження Claude Code

Нове дослідження демонструє, як агенти зі штучним інтелектом, зокрема Claude Code, можуть відтворювати складні журналістські розслідування, забезпечуючи прозорість та точність завдяки використанню спеціальних «навичок».

Ілюстрація, що зображує кита Docker, який інкапсулює елементи Python-проєктів, такі як логотип Python, графіки даних, сервер та годинник, символізуючи контейнеризацію та портативність.
21 травня 2026Дані та аналітика

Docker для Python та проєктів з даними: Практичний посібник

Дізнайтеся, як Docker вирішує проблеми залежностей у Python-проєктах та проєктах з даними. Цей матеріал охоплює контейнеризацію скриптів, розгортання ML-моделей за допомогою FastAPI, створення багатосервісних пайплайнів з Docker Compose та планування завдань за допомогою cron-контейнерів.

Візуалізація двох конкуруючих моделей кодування, OpenAI Codex та Anthropic Claude Code, представлених абстрактними мережами коду, що взаємодіють у цифровому середовищі.
21 травня 2026Штучний інтелект

Оптимізація OpenAI Codex: Досвід та Порівняння з Claude Code

Автор ділиться досвідом використання OpenAI Codex для просунутих завдань кодування, порівнює його з Anthropic Claude Code та розкриває техніки для підвищення продуктивності.

Наступні статті

Схематичне зображення, що показує, як штучний інтелект спрощує складні та заплутані конвеєри даних, перетворюючи їх на уніфікований та впорядкований потік.
21 травня 2026Штучний інтелект

Як ШІ трансформує інженерію даних: від рутини до прориву

Штучний інтелект змінює інженерію даних, допомагаючи командам подолати брак навичок та складність традиційних ETL-процесів завдяки декларативному підходу та уніфікованим платформам.

Стилізована ілюстрація, що зображує потік даних через складну, надійну систему конвеєрів, з елементами обробки штучного інтелекту на кінці. Конвеєр виглядає безпечним та добре спроектованим, з шестернями або взаємопов'язаними вузлами.
22 травня 2026Дані та аналітика

Astronomer підкреслює критичну роль інженерії даних для надійних AI-систем

Компанія Astronomer наголошує на важливості якісної інженерії даних у сфері штучного інтелекту, посилаючись на думку Airflow Champion Шрівідьї Хегде про потенційну "впевнену помилковість" виходів AI та необхідність надійних конвеєрів даних.

Ілюстрація, що показує тіньову фігуру, яка вводить шкідливий код у складну цифрову систему, що символізує вразливості LLM та кодувальних агентів.
22 травня 2026Кібербезпека

LLM та кодувальні агенти: Кошмар безпеки для розробників

Використання великих мовних моделей (LLM) та кодувальних агентів значно розширює поверхню атаки, створюючи нові та серйозні загрози безпеці. Дослідження показують, як зловмисники можуть приховувати шкідливі інструкції та отримувати повний контроль над системами розробників.