Sigurnosni stručnjaci iz tvrtke RedAccess, predvođeni istraživačem Dorom Zvijem, pregledali su nekoliko tisuća web-aplikacija nastalih pomoću popularnih AI alata za tzv. „vibe“ programiranje – Lovable, Replit, Base44 i Netlify – i pronašli više od 5 000 projekata bez ikakve stvarne autentifikacije ili zaštite.
• Oko 40 % analiziranih aplikacija javno je izlagalo osjetljive podatke: medicinske kartone i rasporede liječnika, financijske izvještaje, interne marketinške prezentacije, zapise razgovora chat-botova s punim imenima i kontaktima kupaca, pa čak i teretne liste logističkih tvrtki. • Nekoliko aplikacija omogućavalo je svakome tko pronađe URL da preuzme administratorske ovlasti ili izbriše druge administratore. • Na Lovableovoj domeni otkriveno je i više lažnih stranica koje su se predstavljale kao Bank of America, Costco, FedEx, Trader Joe’s ili McDonald’s.
„Konačni je rezultat da organizacije kroz vibe-kodirane aplikacije stvarno puštaju privatne podatke u javnost”, upozorio je Zvi. Dodao je kako su aplikacije pronašli jednostavnim pretraživanjem Googlea i Binga jer se većina hostira na domenama samih AI platformi.
Reakcije platformi Netlify se na upit nije oglasio. Iz Replita je osnivač Amjad Masad poručio da su „javne aplikacije dostupne na internetu očekivano ponašanje“ te da korisnici mogu promijeniti postavke privatnosti jednim klikom. Lovable je istaknuo da „graditeljima daje alate za sigurnu izradu, ali je konfiguracija na kreatoru“, dok je Base44 (u vlasništvu Wixa) naglasio da njihovi korisnici „svjesno mogu isključiti ugrađene kontrole pristupa“.
RedAccess tvrdi da je nekolicinu vlasnika izravno obavijestio; dio njih zahvalio je na dojavi i zatvorio ranjive stranice. Tvrtka procjenjuje da su uz 5 000 javno hostiranih aplikacija tisuće sličnih skriveno na privatnim domenama.
Šira opasnost Zvi fenomen uspoređuje s nekadašnjom lavinom pogrešno konfiguriranih Amazon S3 spremišta: kombinacija nestručne korisničke postavke i nedostatka zaštitnih mehanizama ponovno dovodi do masovnog curenja podataka. AI alati omogućuju zaposlenicima izvan IT-odjela da u nekoliko klikova puste aplikaciju „u produkciju“, često bez ikakve sigurnosne provjere.
Sigurnosni istraživač Joel Margolis potvrđuje da se slični propusti javljaju svakodnevno: „Alat će napraviti točno što tražite. Ako od njega ne zatražite sigurnost, neće je sam dodati.”