38 тысяч приложений открыты, более 2000 утекших: ИИ-разработка превращает «внутренние сети» в публичные
По данным исследования израильской кибербезопасностной компании RedAccess, около 38 000 веб-приложений, созданных с помощью AI-инструментов для «виб-кодинга», таких как Lovable, Base44, Netlify и Replit, оказались общедоступными в интернете. Из них приблизительно 2000 приложений подвергли утечке конфиденциальных корпоративных и персональных данных.
Исследование выявило, что около 40% проанализированных приложений не имели базовых механизмов безопасности или аутентификации, что позволяло любому, у кого есть URL, получить доступ к чувствительной информации. Среди утекших данных — медицинские записи, финансовая информация, внутренние документы компаний из списка Fortune 500, стратегические презентации и детальные журналы чатов.
Проблема усугубляется тем, что платформы часто по умолчанию устанавливают для созданных приложений публичный статус, и они индексируются поисковыми системами. Кроме того, инструменты AI-кодинга позволяют сотрудникам без технического или security-бэкграунда легко создавать и развертывать приложения, минуя стандартные корпоративные процессы проверки безопасности.
Некоторые платформы, такие как Replit и Wix (владелец Base44), в ответ на исследование заявили, что настройки видимости приложения — ответственность пользователя, а публичный доступ не обязательно означает уязвимость. Однако ранее независимые исследователи также находили платформенные уязвимости, облегчавшие несанкционированный доступ.
Эксперты предупреждают, что распространение «виб-кодинга» и инструментов prompt-to-app может привести к значительному росту количества программных дефектов и масштабных утечек данных из-за отсутствия встроенных практик безопасности у «гражданских разработчиков».
marsbit05/11 04:21
