原文:Thousands of Vibe-Coded Apps Expose Corporate and Personal Data on the Open Web
随着人工智能越来越多地接管现代程序员的工作,网络安全界警告说,自动化编码工具肯定会给软件带来大量新的可破解错误。然而,当这些相同的振动编码工具邀请任何人通过单击创建在网络上托管的应用程序时,事实证明,安全隐患不仅仅是错误,甚至完全没有任何安全性——有时甚至对于高度敏感的公司和个人数据也是如此。
安全研究员 Dor Zvi 和他在网络安全公司 RedAccess 中的团队分析了数千个使用人工智能软件开发工具 Lovable、Replit、Base44 和 Netlify 创建的 vivi 编码 Web 应用程序,发现其中 5,000 多个应用程序几乎没有任何类型的安全或身份验证。许多网络应用程序允许任何人只要找到其网址即可访问应用程序及其数据。其他人对该访问仅存在一些微不足道的障碍,例如要求访问者使用任何电子邮件地址登录。 Zvi 表示,大约 40% 的应用程序暴露了敏感数据,包括医疗信息、财务数据、公司演示和战略文档,以及客户与聊天机器人对话的详细日志。
“最终的结果是,组织实际上通过振动编码应用程序泄露了私人数据,”Zvi 说。 “这是有史以来最大的事件之一,人们向世界上的任何人暴露公司或其他敏感信息。”
Zvi 表示,RedAccess 搜索易受攻击的网络应用程序的过程非常简单。 Lovable、Replit、Base44 和 Netlify 都允许用户将其 Web 应用程序托管在这些 AI 公司自己的域上,而不是用户的域上。因此,研究人员使用简单的 Google 和 Bing 搜索这些人工智能公司的域名,并结合其他搜索词来识别数千个使用这些公司工具进行 Vibe 编码的应用程序。
Zvi 表示,在 5,000 个人工智能编码的应用程序中,任何人只需输入即可公开访问