ИИ-инструменты для «вайб-кодинга» всё чаще превращаются из удобного способа быстро собрать веб-приложение в источник массовых утечек данных — причём без единой сложной уязвимости в привычном смысле.
Исследователь Дор Зви и команда RedAccess обнаружили тысячи открытых сервисов, сделанных через Lovable, Replit, Base44 и Netlify. Многие из них оказались доступны любому человеку, который просто знает URL страницы — без нормальной авторизации и иногда вообще без какой-либо защиты.
В выборке нашли больше 5000 таких приложений. Причём примерно 40% содержали потенциально чувствительные данные: медицинские записи, финансовые документы, внутренние презентации компаний, логи переписок клиентов с чат-ботами и даже панели с административным доступом.
В некоторых случаях «защита» выглядела почти комично — например, вход по любой электронной почте без проверки личности. Отдельно исследователи наткнулись на фишинговые сайты, замаскированные под Bank of America, FedEx, McDonald’s и другие крупные бренды. Их тоже создавали через инструменты для ИИ-разработки.
Платформы в ответ заявили, что проблема не в них, а в настройках пользователей, так как инструменты дают гибкие права доступа, а открытость приложений — осознанный выбор создателей. Разработчики Replit, Base44 и Lovable подчеркнули, что «публичный доступ — ожидаемое поведение», а безопасность остаётся на стороне пользователя.
Но проблема как раз в том, что «вайб-кодинг» убирает из процесса людей, которые обычно отвечают за безопасность. Теперь внутренний сервис может за пару часов собрать буквально любой сотрудник — маркетолог, менеджер или стажёр — и сразу выкатить его в интернет без проверок и аудита.
По оценке исследователей, найденные 5000 приложений — лишь верхушка айсберга. Многие сервисы размещаются на собственных доменах и не попадают в публичный поиск, а значит масштаб проблемы может быть значительно больше.
Join the conversation.