Кібербезпека

Витік даних через «Vibe Coding»: 380 000 корпоративних застосунків були публічно доступними

L

Louis Columbus

7 хв читання

ПоділитисяTelegramFFacebookXXLLinkedInEmail
Ілюстрація, що зображує цифрову мережу корпоративних застосунків та баз даних, деякі з яких виглядають відкритими та вразливими для публічного доступу, символізуючи проблему витоку даних через «тіньовий ШІ» та «vibe coding».

Проблема безпеки та «vibe coding»

Більшість корпоративних програм безпеки розроблялися для захисту серверів, кінцевих точок та хмарних облікових записів. Жодна з них не була створена для виявлення форми прийому клієнтів, яку менеджер з продукту «vibe coded» на Lovable протягом вихідних, підключив до живої бази даних Supabase та розгорнув на публічній URL-адресі, індексованій Google. Цей пробіл тепер має свою ціну.

Дослідження RedAccess: Масштаби витоку

Нове дослідження ізраїльської кібербезпекової фірми RedAccess кількісно оцінило масштаб проблеми. Фірма виявила 380 000 публічно доступних активів, включаючи застосунки, бази даних та пов'язану інфраструктуру, створених за допомогою «vibe coding» інструментів від Lovable, Base44 та Replit, а також платформи розгортання Netlify. Приблизно 5 000 з цих активів, близько 1,3%, містили конфіденційну корпоративну інформацію. Генеральний директор Дор Цві зазначив, що його команда виявила цю вразливість під час дослідження «тіньового ШІ» для клієнтів. Axios незалежно перевірив кілька виявлених застосунків, а Wired окремо підтвердив ці висновки.

Приклади виявлених даних

Серед підтверджених витоків:

  • Застосунок судноплавної компанії деталізував, які судна очікуються в яких портах.
  • Внутрішній застосунок медичної компанії перераховував активні клінічні випробування по всій Великій Британії.
  • Повні, невідредаговані розмови служби підтримки клієнтів для британського постачальника меблів були доступні в інтернеті.
  • Внутрішня фінансова інформація бразильського банку була доступна будь-кому, хто знайшов URL-адресу.
  • Виявлені дані також включали розмови пацієнтів у дитячому закладі довгострокового догляду, резюме лікарів-пацієнтів у лікарнях, записи про реагування на інциденти в охоронній компанії та стратегії закупівлі реклами.
  • RedAccess також виявила фішингові сайти, створені на Lovable, які імітували Bank of America, FedEx, Trader Joe’s та McDonald’s. Lovable заявила, що почала розслідування та видалення фішингових сайтів.

Причини вразливості: Налаштування за замовчуванням

Проблемою є налаштування за замовчуванням. Параметри конфіденційності на кількох «vibe coding» платформах роблять застосунки публічно доступними, якщо користувачі вручну не переключать їх на приватні. Багато з цих застосунків індексуються Google та іншими пошуковими системами, що дозволяє будь-кому випадково натрапити на них.

Непоодинокі випадки: Інші дослідження

Висновки Escape.tech

У жовтні 2025 року Escape.tech просканувала 5 600 публічно доступних «vibe-coded» застосунків і виявила понад 2 000 вразливостей високого рівня впливу, понад 400 витоків секретів, включаючи ключі API та токени доступу, а також 175 випадків витоку персональних даних, що містили медичні записи та номери банківських рахунків. Кожна виявлена Escape вразливість була в живій виробничій системі та могла бути виявлена протягом кількох годин.

Прогнози Gartner

Звіт Gartner «Predicts 2026» прогнозує, що до 2028 року підходи «prompt-to-app», прийняті «громадянськими розробниками», збільшать кількість дефектів програмного забезпечення на 2 500%. Gartner ідентифікує новий клас дефектів, коли ШІ генерує синтаксично коректний код, але без усвідомлення ширшої архітектури системи та нюансів бізнес-правил. Витрати на усунення цих глибоких контекстуальних помилок поглинуть бюджети, раніше виділені на інновації.

«Тіньовий ШІ» як каталізатор

Витік даних, задокументований RedAccess, не є окремою проблемою від «тіньового ШІ». Це виробничий рівень «тіньового ШІ». Співробітники створюють внутрішні інструменти на платформах, які за замовчуванням є публічними, пропускають автентифікацію та ніколи не з'являються в жодному переліку активів, що означає, що застосунки залишаються невидимими для команд безпеки, доки не станеться витік або їх не знайде репортер.

Звіт IBM про вартість витоків

Звіт IBM «Cost of a Data Breach Report» за 2025 рік виявив, що 20% організацій зазнали витоків, пов'язаних з «тіньовим ШІ». Ці інциденти додали $670 000 до середньої вартості витоку, збільшивши середню вартість витоку, пов'язаного з «тіньовим ШІ», до $4,63 мільйона. Серед організацій, які повідомили про витоки, пов'язані з ШІ, 97% не мали належного контролю доступу. А 63% організацій, що зазнали витоку, не мали політики управління ШІ. Витоки «тіньового ШІ» непропорційно часто викривали персональну інформацію клієнтів (65% порівняно з 53% для всіх витоків) та впливали на дані, розподілені в кількох середовищах (62% випадків). Лише 34% організацій з політиками управління ШІ проводили регулярні аудити несанкціонованих інструментів ШІ.

Рекомендації для CISO: План дій

Нижче наведено рамки аудиту, які надають CISO відправну точку для оцінки ризиків «vibe-coded» застосунків за п'ятьма доменами:

  • Виявлення: Запуск сканування DNS та прозорості сертифікатів для субдоменів Lovable, Replit, Base44 та Netlify, пов'язаних з корпоративними активами.
  • Автентифікація: Блокування неавтентифікованих застосунків від доступу до внутрішніх джерел даних.
  • Сканування коду: Розширення існуючого конвеєра AppSec для охоплення «vibe-coded» розгортань.
  • Запобігання втраті даних (DLP): Додавання доменів «vibe coding» платформ до існуючих правил DLP.
  • Управління: Публікація політики прийнятного використання для інструментів кодування ШІ з етапом перевірки перед розгортанням.

Виклики виявлення

Традиційні інструменти виявлення активів були розроблені для пошуку серверів, контейнерів та хмарних екземплярів. Вони не можуть знайти маркетинговий конфігуратор, який менеджер з продукту створив на Lovable протягом вихідних, підключив до живої бази даних CRM, що містить записи клієнтів, і поділився з трьома зовнішніми підрядниками через публічну URL-адресу, яку Google проіндексував протягом кількох годин.

Проблема виявлення глибша, ніж більшість команд безпеки усвідомлюють. «Vibe-coded» застосунки розгортаються на субдоменах платформ, які часто змінюються і нерідко знаходяться за рівнями CDN, що маскують початкову інфраструктуру. Організації, що використовують зрілі, безпечні веб-шлюзи, CASB або журналювання DNS, можуть виявити доступ співробітників до цих доменів. Але виявлення доступу не є тим самим, що інвентаризація розгорнутого, даних, які воно містить, або чи вимагає воно автентифікації. Без явного моніторингу основних «vibe coding» платформ, самі застосунки генерують обмежений сигнал у звичайних SIEM або телеметрії кінцевих точок. Вони існують у проміжку між мережевою видимістю та інвентаризацією застосунків, який більшість стеків безпеки ніколи не були архітектурно призначені для покриття.

Реакція платформ та їхні вразливості

Генеральний директор Replit Амджад Масад заявив, що RedAccess надала його компанії лише 24 години перед зверненням до преси. Base44 (через Wix) та Lovable заявили, що RedAccess не надала URL-адрес або технічних деталей, необхідних для перевірки висновків. Жодна з платформ не заперечувала існування виявлених застосунків.

Вразливість Base44

Wiz Research окремо виявила в липні 2025 року, що Base44 містила обхід автентифікації на рівні платформи. Виявлені кінцеві точки API дозволяли будь-кому створювати перевірений обліковий запис у приватних застосунках, використовуючи лише публічно видимий app_id. Wix виправила вразливість протягом 24 годин після повідомлення Wiz.

Проблеми з Lovable та Supabase

CVE-2025-48757 задокументувала недостатні або відсутні політики безпеки на рівні рядків (Row-Level Security) у проектах Supabase, згенерованих Lovable. Деякі запити повністю пропускали перевірки доступу, викриваючи дані у понад 170 виробничих застосунках. ШІ генерував рівень бази даних, але не генерував політики безпеки, які мали б обмежувати, хто може читати дані. Lovable оскаржує класифікацію CVE, заявляючи, що окремі клієнти несуть відповідальність за захист даних своїх застосунків. Ця суперечка ілюструє основну напругу: платформи, які орієнтовані на нетехнічних розробників, перекладають відповідальність за безпеку на користувачів, які не знають про її існування.

Наслідки для команд безпеки

Висновки RedAccess доповнюють картину. Професійні агенти стикаються з крадіжкою облікових даних на одному рівні. Платформи для «громадянських розробників» стикаються з витоком даних на іншому. Структурна несправність однакова: перевірка безпеки відбувається після розгортання або не відбувається взагалі. Системи управління ідентифікацією та доступом відстежують людських користувачів та облікові записи служб. Вони не відстежують застосунок Lovable, який аналітик з операцій продажів розгорнув минулого вівторка, підключив до живої бази даних CRM та поділився з трьома зовнішніми підрядниками через публічну URL-адресу.

Ніхто не запитує, чи обмежують політики бази даних, хто може читати дані, або чи вимагають кінцеві точки API автентифікації. Коли ці питання залишаються без відповіді зі швидкістю генерації ШІ, витік масштабується швидше, ніж будь-який процес людської перевірки може встигнути. Питання для лідерів безпеки не в тому, чи є «vibe-coded» застосунки всередині їхнього периметра. Питання в тому, скільки їх, які дані вони містять, і кому вони видимі. Висновки RedAccess свідчать, що відповідь для більшості організацій гірша, ніж будь-хто в керівництві зараз знає. Організації, які почнуть сканування цього тижня, знайдуть їх. Ті, хто чекає, прочитають про себе наступного разу.

Що це означає для розробників

Розробники, особливо ті, хто використовує інструменти «vibe coding» або «prompt-to-app» підходи, повинні усвідомлювати, що ці платформи можуть перекладати відповідальність за безпеку на користувача. Це вимагає глибокого розуміння налаштувань приватності, автентифікації та політик безпеки, оскільки ШІ може генерувати синтаксично коректний код без належних механізмів захисту даних.

Ключові факти

  • RedAccess виявила 380 000 публічно доступних корпоративних активів, створених за допомогою «vibe coding» інструментів.

  • Близько 5 000 з цих активів (1,3%) містили конфіденційну корпоративну інформацію.

  • Налаштування приватності за замовчуванням на багатьох «vibe coding» платформах роблять застосунки публічними, якщо їх не змінити вручну.

  • Дослідження Escape.tech виявило понад 2 000 вразливостей та 400 витоків секретів у 5 600 публічних «vibe-coded» застосунках.

  • Звіт IBM показав, що 20% організацій зазнали витоків, пов'язаних з «тіньовим ШІ», що збільшило середню вартість витоку на $670 000.

Джерела

Джерело

VenturebeatLouis Columbus

Vibe coding exposed 380,000 corporate apps — 5,000 held sensitive data

8 травня 2026 · оновлено 8 травня 2026

Оригінал

Попередні статті

Ілюстрація, що зображує інтелектуального агента, який взаємодіє з екраном комп'ютера, мобільним телефоном та хмарними сервісами, символізуючи інтеграцію ШІ в робочі процеси з даними.
2 червня 2026Штучний інтелект

Snowflake CoCo: Агент для роботи з даними тепер доступний там, де працюють розробники

На Snowflake Summit 2026 представлено розширену доступність Snowflake CoCo, що еволюціонував у повноцінну платформу розробки ШІ. Він інтегрується в робочі процеси, пропонує нативні додатки та SDK, забезпечуючи керовану роботу з даними.

Абстрактна ілюстрація двох ШІ-агентів для кодування, які співпрацюють над кодом на екрані, символізуючи процес розробки та рев'ю.
2 червня 2026Штучний інтелект

Як поєднати Claude Code та Codex для максимальної потужності кодування

Дізнайтеся, як ефективно комбінувати можливості Claude Code та OpenAI Codex, використовуючи їхні унікальні сильні сторони для автоматизації завдань, написання надійного коду та проведення ретельних код-рев'ю.

Абстрактна ілюстрація, що символізує інженерію даних та штучний інтелект, з взаємопов'язаними вузлами та потоками даних.
2 червня 2026Технології

Innodata розширює роль партнера з інженерії даних для ШІ

Компанія Innodata Inc. посилює свої позиції у сфері інженерії даних для штучного інтелекту, уклавши партнерство з Palantir для надання високоякісних даних та послуг, а також отримавши контракт від Агентства протиракетної оборони США.

Наступні статті

Ілюстрація, що показує потік даних з різних джерел (авіація, логістика, фармацевтика) до централізованої платформи, де вони обробляються алгоритмами штучного інтелекту, символізуючи вирішення проблем з даними в авіаперевезеннях.
2 червня 2026Дані та аналітика

Rotate придбала Data Build Company для посилення послуг з обробки даних в авіаперевезеннях

Компанія Rotate, що спеціалізується на програмному забезпеченні та консалтингу для авіаперевезень, придбала нідерландську консалтингову фірму Data Build Company (DBC). Це придбання має прискорити запуск Rotate Data Services, яка допомагатиме компаніям вирішувати проблеми з даними та впроваджувати ШІ.

Ілюстрація, що зображує ШІ-агента Snowflake CoCo, який автоматизує розробку, взаємодіючи з потоками даних у реальному часі (Snowflake Datastream) та різними платформами, такими як VS Code, Excel та мобільні пристрої.
2 червня 2026Штучний інтелект

Snowflake представляє CoCo та Datastream для прискорення розробки корпоративного ШІ

Snowflake анонсувала значні оновлення для свого агента кодування CoCo (раніше Cortex Code) та представила нову потокову службу Datastream. Ці інструменти покликані спростити та прискорити розробку корпоративних ШІ-додатків, автоматизуючи робочі процеси та забезпечуючи доступ до даних у реальному часі.

Ілюстрація, що показує журналіста, який працює над дашбордом для візуалізації даних, з елементами коду та карт Філіппін на задньому плані, символізуючи співпрацю людини та ШІ.
2 червня 2026Дані та аналітика

Як «вайб-кодування» допомогло створити складну дашборд-систему для аналізу даних: уроки журналіста

Журналіст використав «вайб-кодування» за допомогою LLM, щоб за тиждень створити дашборд для аналізу даних Національного опитування з демографії та охорони здоров'я Філіппін. Проєкт виявив як ефективність ШІ-агентів, так і необхідність людського контролю та архітектурного планування.