Достаточно одной URL-ссылки для доступа
Сегодня для разработки веб-приложений больше не нужны знания HTML или JavaScript. Достаточно описать их на одной из процветающих платформ для «vibe-кодинга». Тем не менее, безопасность этой практики остаётся слабым звеном.
Веб-приложения, созданные с помощью ИИ и размещённые в интернете, часто не обладают достаточным уровнем безопасности. Компания Red Access, специализирующаяся на облачной безопасности, и её сооснователь Дор Цви проанализировали тысячи таких приложений, созданных с использованием инструментов, таких как Lovable, Replit, Base44 и Netlify. Результаты ошеломляют: более 5 000 из них не имеют никакой аутентификации и реальной защиты.
Простота – это хорошо, но безопасность важнее
Для доступа к данным этих приложений достаточно просто найти их URL. Некоторые другие имели лишь минимальные, легко преодолимые барьеры, например, требование входа по электронной почте. Около 40% этих веб-приложений раскрывают конфиденциальные данные, секретные документы или истории переписок между клиентами и чат-ботами. Дор Цви в интервью Wired бьёт тревогу:
«Организации оказываются в ситуации, когда они раскрывают частные данные через приложения, созданные с использованием vibe-кодинга. Это один из крупнейших случаев утечки, когда люди выставляют корпоративную или другую конфиденциальную информацию любому человеку в мире».
Среди обнаруженного командой Red Access: расписания больниц с личной информацией врачей, данные о рекламных закупках компаний, презентации коммерческих запусков, судовые журналы транспортных компаний и многое другое. В некоторых случаях Дор Цви мог получить администраторские права в этих онлайн-приложениях и даже удалять учётные записи администраторов.
Платформы для vibe-кодинга позволяют пользователям размещать свои веб-приложения непосредственно на собственных доменах. Для их обнаружения исследователи просто использовали поисковые системы Google или Bing. Они также выявили несколько фишинговых сайтов, имитирующих крупные компании, которые были созданы и размещены на Lovable.
«Некоторые пользователи опубликовали в сети приложения, которые должны были оставаться приватными», — объясняет Амджад Масад, генеральный директор Replit. — «Поэтому ожидается, что публичное приложение будет доступно в интернете. Настройки конфиденциальности можно изменить в любой момент одним кликом». Напомнив о наличии инструментов безопасности на своей платформе, руководитель обязался перевести приложения в приватный режим и проинформировать пользователей, если Red Access предоставит ему список таких приложений.
Масад также выразил недовольство очень коротким сроком, предоставленным кибербезопасной компанией – «менее 24 часов» до публикации информации, что не оставило Replit достаточного времени для организации ответных действий. 6 мая Replit объявила, что все пользователи сервиса, как бесплатные, так и платные, теперь могут публиковать свои приложения в приватном режиме. Ранее эта функция была доступна только клиентам Pro и Enterprise.
Ответственность платформ
В Lovable также заявили, что пользователи имеют в своём распоряжении инструменты безопасности, «но то, как настроено приложение, в конечном итоге является ответственностью его создателя». Аналогичная позиция у Base44: «Отключение этих [защитных] контролей — это добровольное и простое действие, которое может выполнить любой пользователь». Веб-приложение, ставшее публичным, — это «выбор конфигурации пользователя, а не уязвимость платформы».
Base44 также напоминает, что очень легко генерировать данные, выглядящие как настоящие. Тем не менее, риск раскрытия конфиденциальной информации через веб-приложения, созданные с помощью vibe-кодинга, остаётся реальным. Эти инструменты используются пользователями, которые не всегда обладают достаточными техническими знаниями для обеспечения безопасности своих данных в интернете.
«Любой сотрудник в компании может создать приложение в любой момент, минуя стандартный цикл разработки и какие-либо проверки безопасности», — предупреждает Дор Цви. Платформы несут здесь ответственность за внедрение защитных мер, чтобы предотвратить потенциальный цунами утечек данных.