38.000 Ứng Dụng Phơi Bày, 2.000+ Ứng Dụng Rò Rỉ, Lập Trình AI Biến 'Mạng Nội Bộ' Thành Mạng Công Cộng

"Các công cụ vibe coding đang làm rò rỉ một lượng lớn dữ liệu cá nhân và doanh nghiệp." Gần đây, các nhà nghiên cứu tại RedAccess, một công ty khởi nghiệp an ninh mạng của Israel, khi nghiên cứu xu hướng "shadow AI" (AI bóng) đã phát hiện ra rằng các công cụ AI mà nhà phát triển sử dụng để nhanh chóng tạo phần mềm đã khiến hồ sơ y tế, dữ liệu tài chính và tài liệu nội bộ của Fortune 500 bị rò rỉ ra mạng mở.

Dor Zvi, CEO của RedAccess, cho biết các nhà nghiên cứu đã phát hiện ra khoảng 380.000 ứng dụng và tài sản khác có thể truy cập công khai, được tạo bởi các nhà phát triển sử dụng các công cụ như Lovable, Base44, Netlify và Replit. Trong số đó, khoảng 5000 ứng dụng chứa thông tin nhạy cảm của doanh nghiệp, nhưng gần 2000 ứng dụng sau khi kiểm tra kỹ hơn dường như đã phơi bày dữ liệu riêng tư. Axios đã xác minh độc lập nhiều ứng dụng bị phơi bày, và WIRED cũng đã xác nhận riêng các phát hiện này.

40% Ứng Dụng Mã Hóa AI Phơi Bày Dữ Liệu Nhạy Cảm,

Thậm Chí Còn Có Quyền Quản Trị

Khi AI ngày càng tiếp quản công việc của lập trình viên hiện đại, lĩnh vực an ninh mạng từ lâu đã cảnh báo: các công cụ mã hóa tự động chắc chắn sẽ đưa vào phần mềm một loạt lỗ hổng có thể bị khai thác. Tuy nhiên, khi các công cụ vibe coding này cho phép bất kỳ ai chỉ cần nhấp chuột là có thể tạo và lưu trữ ứng dụng trên web, vấn đề không chỉ là lỗ hổng nữa, mà là gần như hoàn toàn không có bất kỳ biện pháp bảo vệ an ninh nào, kể cả dữ liệu cá nhân và doanh nghiệp cực kỳ nhạy cảm.

Được biết, nhóm RedAccess đã phân tích hàng nghìn ứng dụng web vibe coding được tạo bằng các công cụ phát triển phần mềm AI như Lovable, Replit, Base44 và Netlify, phát hiện ra rằng hơn 5000 ứng dụng trong số đó hầu như không có cơ chế bảo mật hoặc xác thực nào. Nhiều ứng dụng web như vậy, chỉ cần ai đó có được URL của chúng, là có thể truy cập trực tiếp vào ứng dụng và dữ liệu của nó. Một số khác dù có đặt ra rào cản, nhưng cũng cực kỳ đơn giản, chẳng hạn như chỉ cần đăng ký bằng địa chỉ email bất kỳ là có thể truy cập.

Trong số 5000 ứng dụng mã hóa AI mà bất kỳ ai cũng có thể truy cập chỉ bằng cách nhập URL vào trình duyệt này, Zvi phát hiện ra gần 2000 ứng dụng sau khi kiểm tra kỹ hơn dường như đã phơi bày dữ liệu riêng tư. Zvi cho biết, khoảng 40% ứng dụng phơi bày dữ liệu nhạy cảm, bao gồm thông tin y tế, dữ liệu tài chính, bài thuyết trình và tài liệu chiến lược của doanh nghiệp, cũng như hồ sơ chi tiết cuộc trò chuyện của người dùng với chatbot.

Các ảnh chụp màn hình ứng dụng web mà anh ấy chia sẻ (một số trong đó đã được xác minh vẫn trực tuyến và ở trạng thái bị phơi bày) cho thấy, bao gồm thông tin phân công công việc của một bệnh viện (có thông tin nhận dạng cá nhân của bác sĩ), dữ liệu mua quảng cáo chi tiết của một công ty, bài thuyết trình chiến lược thâm nhập thị trường của một công ty khác, hồ sơ cuộc trò chuyện đầy đủ của chatbot của một nhà bán lẻ (chứa tên đầy đủ và thông tin liên hệ của khách hàng), hồ sơ vận chuyển hàng hóa của một công ty vận tải biển, và các loại dữ liệu bán hàng và tài chính khác nhau từ nhiều công ty. Zvi còn cho biết, trong một số trường hợp, các ứng dụng bị phơi bày này thậm chí có thể cho phép anh ta có được quyền quản trị hệ thống, thậm chí xóa các quản trị viên khác.

Zvi cho biết, RedAccess đã tìm kiếm các ứng dụng web có lỗ hổng một cách dễ dàng đến kinh ngạc. Lovable, Replit, Base44 và Netlify đều cho phép người dùng lưu trữ ứng dụng web trên tên miền riêng của các công ty AI này, thay vì trên tên miền của chính người dùng. Do đó, các nhà nghiên cứu chỉ cần thực hiện tìm kiếm đơn giản trên Google và Bing, sử dụng tên miền của các công ty này kết hợp với các từ khóa khác, là có thể xác định được hàng nghìn ứng dụng sử dụng các công cụ này để phát triển vibe coding.

Trong trường hợp của Lovable, Zvi còn phát hiện ra một số lượng lớn trang web lừa đảo giả mạo các doanh nghiệp lớn, những trang web này có vẻ được tạo thông qua công cụ mã hóa AI này và được lưu trữ trên tên miền của Lovable, bao gồm các thương hiệu như Bank of America, Costco, FedEx, Trader Joe's và McDonald's. Zvi cũng chỉ ra rằng, 5000 ứng dụng bị phơi bày mà Red Access phát hiện chỉ được lưu trữ trên tên miền riêng của các công cụ mã hóa AI, trên thực tế có thể còn có hàng chục nghìn ứng dụng khác được lưu trữ trên tên miền do người dùng tự mua.

Nhà nghiên cứu an ninh Joel Margolis chỉ ra rằng, việc xác minh xem dữ liệu thực có thực sự bị phơi bày trong một ứng dụng web mã hóa AI không được bảo vệ hay không thực sự không dễ dàng. Ông và đồng nghiệp trước đây từng phát hiện một món đồ chơi trò chuyện AI, đã phơi bày 50.000 bản ghi cuộc trò chuyện với trẻ em trên một trang web hầu như không có biện pháp bảo vệ an ninh. Ông cho biết, dữ liệu trong ứng dụng vibe coding có thể chỉ là trình giữ chỗ, hoặc bản thân ứng dụng chỉ là một bằng chứng khái niệm (POC). Brodie của Wix cũng cho rằng, hai ví dụ được cung cấp cho Base44 trông giống như trang thử nghiệm hoặc chứa dữ liệu do AI tạo ra.

Tuy nhiên, Margolis cho rằng, vấn đề ứng dụng web do AI xây dựng dẫn đến phơi bày dữ liệu thực sự rất thực tế. Ông cho biết, bản thân ông thường xuyên gặp phải tình huống phơi bày như Zvi mô tả. "Có người trong nhóm tiếp thị muốn tạo một trang web, họ không phải là kỹ sư, có thể cũng hầu như không có nền tảng hoặc kiến thức về an ninh." Ông chỉ ra rằng, công cụ mã hóa AI sẽ làm theo yêu cầu của bạn, nhưng nếu bạn không yêu cầu nó làm theo cách an toàn, nó cũng sẽ không chủ động làm vậy.

"Mọi Người Có Thể Tùy Ý Tạo Ra"

Nhưng Cài Đặt Mặc Định Đã Có Vấn Đề

Chưa đầy hai tuần trước khi nghiên cứu của RedAccess được công bố, còn xảy ra một sự kiện: Cursor chạy mô hình Claude Opus 4.6 thông qua một lần gọi API tới nhà cung cấp cơ sở hạ tầng Railway, đã xóa toàn bộ cơ sở dữ liệu sản xuất và tất cả các bản sao lưu cấp volume của PocketOS chỉ trong 9 giây.

Zvi thẳng thắn cho biết, "Mọi người có thể tùy ý tạo ra một thứ gì đó, sau đó sử dụng trực tiếp trong môi trường sản xuất, đại diện cho công ty để sử dụng, thậm chí không cần có bất kỳ sự cho phép nào, hành vi này hầu như không có ranh giới. Tôi không nghĩ có thể khiến cả thế giới chấp nhận giáo dục an ninh." Ông còn bổ sung thêm rằng, mẹ của ông cũng đang sử dụng Lovable để vibe coding, "nhưng tôi không nghĩ bà ấy sẽ cân nhắc kiểm soát truy cập dựa trên vai trò".

Các nhà nghiên cứu RedAccess phát hiện ra rằng, cài đặt quyền riêng tư mặc định trên nhiều nền tảng vibe coding khiến ứng dụng ở trạng thái công khai, trừ khi người dùng tự chuyển nó thành riêng tư. Nhiều ứng dụng như vậy còn được các công cụ tìm kiếm như Google thu thập, và bất kỳ ai lên mạng đều có thể vô tình truy cập vào chúng.

Zvi cho rằng, hiện nay các công cụ phát triển ứng dụng web AI đang tạo ra làn sóng phơi bày dữ liệu mới, nguyên nhân gốc rễ cũng là sự kết hợp giữa lỗi của người dùng và sự bảo vệ an ninh không đầy đủ. Nhưng vấn đề căn bản hơn so với một lỗ hổng an ninh cụ thể nào đó là, các công cụ này cho phép một lớp người hoàn toàn mới trong tổ chức có thể tạo ứng dụng, họ thường thiếu nhận thức về an ninh, và vượt qua quy trình phát triển phần mềm cũng như cơ chế xem xét an ninh trước khi đưa vào sử dụng vốn có của doanh nghiệp.

"Bất kỳ ai trong công ty, bất cứ lúc nào cũng có thể tạo ra một ứng dụng, và hoàn toàn không cần trải qua bất kỳ quy trình phát triển hoặc kiểm tra an ninh nào, mọi người có thể trực tiếp sử dụng nó trong môi trường sản xuất mà không cần xin ý kiến của bất kỳ ai. Và họ thực sự đã làm như vậy." Zvi nói, "Kết quả cuối cùng là, doanh nghiệp thực tế đang rò rỉ dữ liệu riêng tư thông qua các ứng dụng vibe coding này, đây là một trong những sự kiện có quy mô lớn nhất từ trước đến nay, mọi người đang phơi bày thông tin doanh nghiệp hoặc thông tin nhạy cảm khác cho bất kỳ ai trên thế giới."

Vào tháng 10 năm ngoái, Escape.tech đã quét 5600 ứng dụng vibe coding công khai, cũng phát hiện ra rằng hơn 2000 ứng dụng trong số đó có lỗ hổng nghiêm trọng, hơn 400 ứng dụng phơi bày thông tin nhạy cảm (bao gồm khóa API và token truy cập), và 175 trường hợp liên quan đến rò rỉ dữ liệu cá nhân (bao gồm hồ sơ y tế và thông tin tài khoản ngân hàng). Tất cả các lỗ hổng mà Escape phát hiện đều tồn tại trong các hệ thống sản xuất thực tế, và có thể được phát hiện trong vòng vài giờ. Vào tháng 3 năm nay, công ty này đã hoàn thành vòng tài trợ Series A trị giá 18 triệu USD do Balderton dẫn đầu, một trong những lý logic đầu tư cốt lõi của họ chính là khoảng trống an ninh do mã được tạo bởi AI mang lại.

Gartner trong báo cáo "Dự đoán năm 2026" chỉ ra rằng, đến năm 2028, cách thức prompt-to-app (ứng dụng được tạo ra từ gợi ý) được các "nhà phát triển công dân" (citizen developer) áp dụng sẽ làm tăng số lượng lỗi phần mềm lên 2500%. Gartner cho rằng, một đặc điểm mới lớn của loại lỗi này là: mã do AI tạo ra đúng về mặt cú pháp, nhưng thiếu sự hiểu biết về kiến trúc hệ thống tổng thể và các quy tắc nghiệp vụ phức tạp. Chi phí sửa chữa những "lỗi ngữ cảnh sâu" này sẽ làm xói mòn ngân sách vốn dành cho đổi mới.

Phản Hồi Và Phản Bác Của Các Nền Tảng

Hiện tại, ba công ty mã hóa AI đã phản đối tuyên bố của các nhà nghiên cứu RedAccess, cho rằng thông tin đối phương chia sẻ không đầy đủ, và cũng không cho đủ thời gian để phản hồi. Nhưng Zvi cho biết, đối với hàng chục ứng dụng web bị phơi bày, họ đã chủ động liên hệ với chủ sở hữu nghi ngờ của các ứng dụng. Các giám đốc điều hành của các công ty đều cho biết, họ nghiêm túc xem xét các báo cáo như vậy, đồng thời chỉ ra rằng việc các ứng dụng này có thể truy cập công khai không nhất thiết đồng nghĩa với việc có rò rỉ dữ liệu hoặc lỗ hổng an ninh. Tuy nhiên, các công ty này cũng không phủ nhận rằng các ứng dụng web mà RedAccess phát hiện thực sự đang ở trạng thái bị phơi bày công khai.

Amjad Masad, CEO của Replit, cho biết RedAccess chỉ cho họ 24 giờ để phản hồi trước khi tiết lộ. Ông viết trong phản hồi trên X: "Dựa trên thông tin hạn chế mà họ chia sẻ, cáo buộc chính của RedAccess dường như là: một số người dùng đã xuất bản các ứng dụng lẽ ra phải là riêng tư lên mạng internet mở, Replit cho phép người dùng tự chọn ứng dụng của họ là công khai hay riêng tư. Ứng dụng công khai có thể được truy cập trên internet, đây là hành vi dự kiến. Cài đặt quyền riêng tư cũng có thể được thay đổi bất cứ lúc nào chỉ bằng một cú nhấp chuột. Nếu Red Access chia sẻ danh sách người dùng bị ảnh hưởng, chúng tôi sẽ chủ động đặt các ứng dụng đó mặc định là riêng tư, và trực tiếp thông báo cho người dùng."

Một phát ngôn viên của Lovable tuyên bố phản hồi rằng, "Lovable rất coi trọng các báo cáo về phơi bày dữ liệu và trang web lừa đảo, chúng tôi đang tích cực thu thập thông tin cần thiết để tiến hành điều tra. Hiện tại vấn đề này vẫn đang được xử lý liên tục. Đồng thời cũng cần chỉ ra rằng, Lovable cung cấp cho nhà phát triển các công cụ để xây dựng ứng dụng một cách an toàn, nhưng ứng dụng được cấu hình như thế nào, trách nhiệm cuối cùng thuộc về chính người tạo ra nó."

Trong CVE-2025-48757 đã được công bố trước đó, ghi lại vấn đề về chính sách bảo mật cấp hàng (Row-Level Security) không đủ hoặc thậm chí thiếu trong các dự án Supabase được tạo bởi Lovable. Một số truy vấn hoàn toàn bỏ qua kiểm tra kiểm soát truy cập, dẫn đến dữ liệu của hơn 170 ứng dụng môi trường sản xuất bị phơi bày. AI chịu trách nhiệm tạo ra lớp cơ sở dữ liệu, nhưng lại không tạo ra các chính sách bảo mật lẽ ra phải hạn chế truy cập dữ liệu. Lovable đã phản đối phân loại CVE này, cho rằng bảo vệ dữ liệu ứng dụng là trách nhiệm của chính khách hàng.

Blake Brodie, người phụ trách quan hệ công chúng của Wix, công ty mẹ của Base44, tuyên bố: "Base44 cung cấp cho người dùng các công cụ mạnh mẽ để cấu hình tính bảo mật cho ứng dụng của họ, bao gồm cài đặt kiểm soát truy cập và khả năng hiển thị." Cô bổ sung, "Việc tắt các kiểm soát này là một thao tác có chủ ý và đơn giản, bất kỳ người dùng nào cũng có thể làm được. Nếu ứng dụng có thể truy cập công khai, đó phản ánh sự lựa chọn cấu hình của người dùng, chứ không phải là lỗ hổng của nền tảng."

Brodie còn chỉ ra, "Việc giả mạo các ứng dụng có vẻ chứa dữ liệu người dùng thực rất dễ dàng. Trong khi không cung cấp cho chúng tôi bất kỳ trường hợp nào được xác minh, chúng tôi không thể đánh giá tính xác thực của những cáo buộc này." Đáp lại điều này, RedAccess phản bác rằng họ thực sự đã cung cấp các ví dụ liên quan cho Base44. RedAccess còn chia sẻ một số hồ sơ giao tiếp ẩn danh, cho thấy người dùng Base44 cảm ơn các nhà nghiên cứu đã cảnh báo ứng dụng của họ có vấn đề bị phơi bày, sau đó các ứng dụng này được gia cố hoặc ngừng hoạt động.

Được biết, Wiz Research vào tháng 7 năm ngoái đã độc lập phát hiện ra rằng Base44 tồn tại một lỗ hổng bỏ qua xác thực ở cấp nền tảng. Giao diện API bị phơi bày cho phép bất kỳ ai chỉ với một app_id có thể nhìn thấy công khai, là có thể tạo "tài khoản đã xác minh" trong ứng dụng riêng tư. Lỗ hổng này tương đương với việc: đứng trước cửa một tòa nhà bị khóa, chỉ cần hô số phòng, là cửa sẽ tự động mở. Wix đã sửa lỗ hổng này trong vòng 24 giờ sau khi Wiz báo cáo, nhưng sự kiện này đã làm lộ ra một vấn đề: trên các nền tảng này, hàng triệu ứng dụng do người dùng tạo ra, và người dùng thường mặc định rằng nền tảng đã xử lý vấn đề an ninh thay cho họ, nhưng cơ chế xác thực thực tế lại rất yếu.

Tài liệu tham khảo:

https://www.wired.com/story/thousands-of-vibe-coded-apps-expose-corporate-and-personal-data-on-the-open-web/

https://www.axios.com/2026/05/07/loveable-replit-vibe-coding-privacy

https://venturebeat.com/security/vibe-coded-apps-shadow-ai-s3-bucket-crisis-ciso-audit-framework

Bài viết này đến từ tài khoản công chúng WeChat "AI前线" (ID: ai-front), tác giả: 华卫 (Hoa Vệ)