Wired: тысячи приложений, созданных с помощью вайбкодинга, раскрывают корпоративные и личные данные

Специалисты по кибербезопасности предупредили ^[1], что платформы на базе ИИ, такие как Lovable, Base44, Replit и Netlify позволяют любому желающему создать веб-приложение, но вместе с этим есть серьёзные последствия для безопасности — это не только ошибки ^[2], но и полное отсутствие защиты, в том числе для конфиденциальных корпоративных и личных данных, пишет Wired.

Основатель компании RedAccess Дор Цви (Dor Zvi) и его команда выяснили, что более 5 тыс. веб-приложений, созданных с помощью вайбкодинга, практически не защищены и не имеют какой-либо аутентификации. Многие ресурсы позволяли любому, кто знал их URL, получить доступ к их данным. В других приложениях доступ был ограничен минимальной защитой, например требованием ввести адрес электронной почты. По словам Цви, около 40% приложений раскрывали конфиденциальные данные — в сеть утекали медицинская информация, финансовые данные, корпоративные презентации и стратегические документы, а также подробные записи разговоров клиентов с чат-ботами. Цви отметил, что в некоторых случаях обнаруженные уязвимости позволяли ему получать права администратора в системах и даже удалять других администраторов.

RedAccess обнаружила на поддоменах Lovable множество фишинговых ресурсов, выдававших себя за сайты крупных корпораций, включая Bank of America, Costco, FedEx, Trader Joe’s и McDonald’s.

Журналисты Wired обратились к Lovable, Base44, Replit и Netlify с просьбой прокомментировать исследование RedAccess. Netlify от комментариев отказалась, а три другие опровергли утверждения исследователей и заявили, что те не предоставили достаточно информации о своих выводах. Однако они не стали отрицать, что обнаруженные RedAccess веб-приложения были уязвимы. Также в Lovable сообщили о расследовании по поводу поддельных страниц.

В Replit заявили, что её платформа позволяет пользователям выбирать, делать ли приложения общедоступными или приватными, и настройки конфиденциальности можно изменить в любой момент.

По словам представителя Lovable, сервис предоставляет клиентам инструменты для безопасной разработки, но за то, как настроено приложение, в конечном счёте отвечает его создатель.

Представитель Base44 сообщил, что платформа «предоставляет пользователям надёжные инструменты для настройки безопасности их приложений, включая контроль доступа и параметры видимости», и добавил, что «отключение этих функций — это осознанное действие, и если приложения были общедоступными, это свидетельствует о выборе пользователя, а не об уязвимости платформы». Также нет никаких доказательств, что попавшие в открытый доступ пользовательские данные достоверны.

По словам Цви, проблема не столько в конкретных недостатках систем безопасности, разработанных компаниями, сколько в том, что эти инструменты позволяют сотрудникам организаций создавать приложения — зачастую без должного внимания ^[3] к вопросам безопасности и в обход обычных процессов разработки программного обеспечения.

Ранее компания Bondu, производитель интерактивных мягких игрушек с искусственным интеллектом ^[4], оставила в открытом доступе ^[5] 50 тыс. записей чатов игрушки с детьми. Компания практически никак не защитила свой сайт, и любой желающий мог получить доступ к личным данным владельцев и разговорам между детьми и их игрушками, выяснили специалисты.