Vibe-кодинг: Тысячи веб-приложений на базе ИИ раскрывают конфиденциальные данные

Больше не нужно обладать глубокими знаниями HTML или JavaScript для разработки веб-приложений: достаточно описать желаемое приложение одной из платформ так называемого «vibe-кодинга», процветающего на современном рынке. Однако при такой простоте разработки безопасность часто остается без должного внимания.

Приложения, генерируемые искусственным интеллектом и публикуемые в интернете, зачастую оказываются крайне небезопасными. Компания Red Access, специализирующаяся на облачной безопасности, в лице своего соучредителя Дора Цви, провела анализ тысяч веб-приложений, созданных с помощью таких инструментов, как Lovable, Replit, Base44 и Netlify. Результаты исследования шокируют: более 5000 из них не имеют никакой аутентификации или реальных мер защиты.

Простота — это хорошо, безопасность — лучше

Для доступа к данным этих приложений зачастую достаточно просто знать их URL-адрес. Другие предлагали лишь минимальные барьеры, такие как требование входа по электронной почте, которые оказались легко преодолимыми. Примерно 40% этих веб-приложений раскрывают конфиденциальные данные, включая секретные документы и истории переписки между клиентами и чат-ботами. Дор Цви бьет тревогу в интервью Wired:

«Организации обнаруживают, что делятся частными данными через приложения, созданные с использованием vibe-кодинга. Это один из самых масштабных случаев утечки, когда люди выставляют корпоративную или другую конфиденциальную информацию на всеобщее обозрение по всему миру.»

Среди находок команды Red Access: расписания больниц с персональными данными врачей, данные о рекламных закупках компаний, презентации коммерческих запусков, судовые журналы транспортных компаний. В некоторых случаях Дор Цви мог получить административные привилегии в этих онлайн-приложениях и даже удалять учетные записи администраторов.

Платформы vibe-кодинга позволяют пользователям размещать свои веб-приложения непосредственно на собственных доменах. Для их обнаружения исследователи просто использовали поисковые системы Google и Bing. Они также нашли несколько фишинговых сайтов, имитирующих крупные компании, которые были созданы и размещены на Lovable.

«Некоторые пользователи опубликовали в интернете приложения, которые должны были оставаться приватными», — объясняет Амджад Масад, генеральный директор Replit. — «Поэтому ожидаемо, что публичное приложение доступно в интернете. Настройки конфиденциальности можно изменить в любой момент одним кликом». Напомнив о наличии инструментов безопасности на своей платформе, руководитель пообещал переключить приложения в приватный режим и проинформировать пользователей, если Red Access предоставит список таких приложений.

Масад также упрекнул компанию по кибербезопасности в очень коротком сроке уведомления — «менее 24 часов» до публикации информации, что не оставило Replit времени для организации адекватного ответа. Однако, 6 мая Replit объявила, что теперь все пользователи сервиса, как бесплатные, так и платные, могут публиковать свои приложения в приватном режиме. Ранее эта функция была доступна только клиентам Pro и Enterprise.

Ответственность платформ

В Lovable также заявили, что пользователи имеют в своем распоряжении инструменты безопасности, «но то, как настроено приложение, в конечном итоге является ответственностью его создателя». Аналогичное заявление прозвучало от Base44: «Отключение этих [защитных] элементов управления — это добровольное и простое действие, которое может выполнить любой пользователь». Веб-приложение, сделанное публичным, — это «выбор конфигурации пользователя, а не недостаток платформы».

Base44 также напоминает, что очень легко генерировать данные, похожие на реальные. Тем не менее, риск раскрытия конфиденциальной информации через веб-приложения, созданные с использованием vibe-кодинга, остается реальным. Эти инструменты часто используются пользователями, которые не всегда обладают достаточным техническим опытом для обеспечения надежной защиты своих данных в интернете.

«Любой сотрудник компании может создать приложение в любой момент, минуя стандартный цикл разработки и контроль безопасности», — предупреждает Дор Цви. Платформы несут здесь ответственность за внедрение более строгих защитных механизмов, чтобы предотвратить потенциальный «цунами» утечек данных.