Експерти проаналізували великий масив додатків, створених за допомогою ШІ-сервісів для вайбкодингу на кшталт Lovable, Replit, Base44 та Netlify, і прийшли до невтішних висновків щодо безпекових ризиків.
Експерти проаналізували великий масив додатків, створених за допомогою ШІ-сервісів для вайбкодингу на кшталт Lovable, Replit, Base44 та Netlify, і прийшли до невтішних висновків щодо безпекових ризиків.
Як пише Wired, дослідник безпеки Дор Цві та його команда кібербезпеки RedAccess проаналізували тисячі вебдодатків, написаних за допомогою так званого вайбкодингу.
Виявилося, що понад 5000 із проаналізованих додатків практично не мали жодної безпеки чи автентифікації.
«Багато з цих вебдодатків давали змогу будь-кому, хто просто знайшов їхню вебадресу, отримати доступ як до самих додатків, так і до даних їхніх користувачів. Інші мали лише незначні перешкоди для такого доступу, такі як вимога входу відвідувача за допомогою будь-якої адреси електронної пошти. Близько 40% додатків розкривали конфіденційні дані, включаючи медичну інформацію, фінансові дані, корпоративні та стратегічні документи, а також детальні журнали розмов клієнтів із чат-ботами», — пише видання про результати дослідження кіберекспертів.
При цьому близько 2000 з проаналізованих додатків, створених популярними сервісами для вайбкодингу, розкривали конфіденційні дані — наприклад, особисту інформацію лікарів, повні журнали розмов чат-бота з клієнтами, імена та контактну інформацію клієнтів та інше.
У випадку з Lovable, Дор Цві також стверджує, що за допомогою сервісу створювалися числені фішингові сайти, які «мімікрували» під сайти відомих торгових марок і корпорацій, включаючи Bank of America, Costco, FedEx і McDonald’s.
Видання Wired звернулося до згаданих сервісів для вайкодингу з проханням прокоментувати висновки RedAccess. Netlify не відповів на запит, а три інші компанії спростували заяви дослідників і зазначили, що їм не надали достатньо часу для відповіді. Утім, вони не заперечували, що вебдодатки, знайдені RedAccess, залишилися незахищеними.
«Основна претензія RedAccess полягає в тому, що деякі користувачі опублікували у відкритому інтернеті додатки, які мали бути приватними. Replit дозволяє користувачам вибирати, чи є додатки публічними, чи приватними. Налаштування конфіденційності можна змінити будь-коли одним клацанням миші», — написав гендиректор Replit Амджад Масад у своїй відповіді на X.
Своєю чергою речник Lovable відповів, що «Lovable серйозно ставиться до повідомлень про викриті дані та фішингові сайти, і активно працює над тим, щоб отримати необхідну інформацію для розслідування». Водночас там нагадали, що надають розробникам інструменти для безпеки, але те, як саме налаштовано додаток, зрештою є відповідальністю самого розробника.
У материнській компанії Base44, Wix, заявили, що «Base44 надає користувачам надійні інструменти для налаштування безпеки власних програм, включно з елементами керування доступом та налаштуванням видимості». Але водночас такі вразливості там назвали вибором конфігурації користувача, а не проблемою самої платформи.
Нагадаємо, що в лютому термін «вайбкодинг» святкував першу річницю.
Тим часом творця Claude Code дратує термін «вайбкодинг». Він шукає нову назву для ШІ-програмування і просить допомоги спільноти.
