Кібербезпека

Vibe Coding спричиняє «тисячі» вразливостей безпеки даних

W

Will McCurdy

3 хв читання

ПоділитисяTelegramFFacebookXXLLinkedInEmail
Ілюстрація, що символізує вразливості безпеки даних у додатках, створених за допомогою ШІ, із зображенням незахищених даних, що витікають з екрану комп'ютера, та зламаного замка.

Популярність Vibe Coding та його ризики

Vibe coding, що дозволяє користувачам без технічних навичок створювати програмні додатки за допомогою штучного інтелекту, набув значної популярності. Він дає змогу нерозробникам створювати додатки за лічені години. Однак, фірма з кібербезпеки RedAccess виявила потенційні вразливості безпеки, пов'язані з цим підходом.

Висновки RedAccess

У дослідженні, вперше наданому Wired, команда під керівництвом дослідника безпеки Дора Цві ідентифікувала 5000 веб-додатків, створених за допомогою vibe coding. Ці додатки були розроблені з використанням інструментів ШІ, таких як Lovable, Replit, Base44 та Netlify. Згідно з RedAccess, ці додатки мали «практично нульову безпеку або автентифікацію будь-якого роду».

У деяких випадках будь-хто, хто знав правильну веб-адресу, міг отримати доступ до додатків та їхніх даних. Інші додатки мали «лише тривіальні бар'єри» для доступу до даних, наприклад, вхід за допомогою «будь-якої електронної пошти». Дор Цві додав, що у 40% випадків додатки розкривали конфіденційну інформацію, включаючи робочі завдання лікарень з персональними даними лікарів, презентації стратегій виходу на ринок компаній, а також дані про продажі та фінансові записи різних компаній.

Коментарі експертів

Дослідник безпеки Джоел Марголіс зазначив, що демократизація доступу до розробки додатків має свої проблеми. Він пояснив, що «хтось із маркетингової команди хоче створити веб-сайт. Вони не інженери, і, ймовірно, мають мало або зовсім не мають досвіду чи знань у сфері безпеки». Марголіс додав, що якщо ці інструменти не вимагають створення безпечних додатків, «вони не будуть докладати зусиль для цього».

Реакція компаній

Багато компаній, згаданих у дослідженні, висловили заперечення. Наприклад, Блейк Броді, представник Wix (власника Base44), повідомив Axios, що RedAccess «навмисно приховав URL-адреси, які дозволили б нам ідентифікувати та вивчити відповідні додатки». Крім того, він заявив, що додатки, які, як повідомлялося, були викриті, були «навмисно встановлені як публічні їхніми власниками». Броді також повідомив Wired, що два приклади веб-сайтів, створених Base44, які йому показали, виявилися тестовими сайтами або містили дані, згенеровані ШІ.

Тим часом, Самюта Редді, представник Lovable, повідомила Axios, що дослідження RedAccess не містило «жодних URL-адрес або технічних деталей, які дозволили б нам перевірити, розслідувати або діяти відповідно до описаних висновків», хоча компанія заявила, що розслідує інцидент.

Що це означає для розробників

Ця новина підкреслює, що додатки, створені нетехнічними користувачами за допомогою інструментів ШІ, часто мають критичні вразливості безпеки. Для розробників це означає важливість інтеграції надійних заходів безпеки в будь-який додаток та потенційну потребу в розробці інструментів ШІ, які за замовчуванням пріоритизують безпеку.

Ключові факти

  • Vibe coding дозволяє нетехнічним користувачам створювати додатки за допомогою ШІ.

  • Фірма RedAccess виявила 5000 веб-додатків, створених за допомогою vibe coding (Lovable, Replit, Base44, Netlify), які мали «практично нульову безпеку або автентифікацію».

  • У деяких випадках доступ до додатків та їхніх даних був можливий за правильною URL-адресою, або через «тривіальні бар'єри» (наприклад, вхід з будь-якою електронною поштою).

  • 40% цих додатків розкривали конфіденційну інформацію, включаючи персональні дані лікарів, бізнес-стратегії та фінансові записи.

  • Експерти зазначають, що нетехнічні користувачі, які створюють додатки, зазвичай не мають знань у сфері безпеки.

Джерела

Джерело

PCMag AustraliaWill McCurdy

Vibe Coding Is Causing ‘Thousands’ of Data Security Vulnerabilities

9 травня 2026

Оригінал

Попередні статті

Ілюстрація дівчини, яка працює за комп'ютером, символізуючи цифрові навички та кодування.
22 травня 2026Технології

Дівчата в ЄС демонструють високі цифрові навички, але відстають у кодуванні

Згідно з даними Eurostat за 2025 рік, дівчата віком 16-19 років у ЄС перевершують середній показник населення за рівнем навичок створення цифрового контенту, проте значно відстають від хлопців у програмуванні.

Візуалізація зростання ринку хмарних обчислень з елементами штучного інтелекту, гібридних хмар та потоків даних, що символізують інновації та взаємозв'язок.
22 травня 2026Технології

Хмарні Обчислення: Ринок Зростає до $2.9 Трильйона до 2034 року Завдяки ШІ та Гібридним Рішенням

Глобальний ринок хмарних обчислень, оцінений у $781.27 млрд у 2025 році, прогнозується зрости до $2.9 трлн до 2034 року зі щорічним зростанням 15.7%. Основними рушіями є цифрова трансформація підприємств, інтеграція штучного інтелекту, гібридні інфраструктури та інвестиції в гіпермасштабні платформи.

Людина, що розглядає абстрактну візуалізацію даних, яка символізує розуміння складних взаємозв'язків без необхідності кодування.
22 травня 2026Дані та аналітика

Мислити як дата-сайєнтист без кодування: Погляд Джастіна Еванса

Джастін Еванс, ветеран індустрії даних, у своїй новій книзі стверджує, що для успіху в економіці, заснованій на даних, не потрібні глибокі технічні знання. Достатньо комп'ютерної грамотності та вміння ставити правильні питання.

Наступні статті

Ілюстрація, що зображує потік даних у корпоративне озерне сховище, де інтелектуальні агенти ШІ автономно моніторять та оптимізують конвеєри даних.
24 травня 2026Штучний інтелект

Definity залучає $12 мільйонів для розвитку платформи агентного інжинірингу даних

Платформа агентного інжинірингу даних Definity залучила $12 мільйонів у раунді фінансування Серії A, довівши загальний обсяг інвестицій до $16.5 мільйонів. Компанія, що базується в Чикаго, розробляє рішення для оптимізації корпоративних озерних сховищ та конвеєрів даних Spark.

Студенти Sona College of Technology працюють над проектами з комп'ютерних наук, штучного інтелекту та Data Science в сучасному кампусі.
24 травня 2026Комп'ютерні науки

Sona College оголошує набір на програми B.Tech з комп'ютерних наук, ІТ, ШІ/МО та Data Science

Sona College of Technology відкриває набір на чотирирічні програми B.Tech у сферах комп'ютерних наук, інформаційних технологій, штучного інтелекту, машинного навчання та Data Science. Програми акредитовані NBA та пропонують глибоку підготовку з акцентом на практичний досвід та інновації.

Футуристична ілюстрація, що показує потік даних через взаємопов'язані світні конвеєри до центральної системи ШІ, символізуючи трансформацію інженерії даних в AI-орієнтовану дисципліну.
25 травня 2026Дані та аналітика

2026 рік: Інженерія даних стає AI-орієнтованою дисципліною

До 2026 року інженерія даних перетвориться на основу корпоративного інтелекту, що визначатиме масштабованість ШІ. Цей рік стане переломним, оскільки компанії переходять до AI-орієнтованих архітектур, відкритих екосистем, графів знань та контрактів даних.