O scanare a 380.000 de aplicații construite cu IA găsește mii fără niciun fel de autentificare

Discursul vibe-coding din 2023 încoace a fost mereu același — oricine poate construi o aplicație. O nouă scanare RedAccess livrează prima dovadă cifrică. Din aproximativ 380.000 de aplicații web construite cu unelte de codare bazate pe IA și lansate prin servicii precum Netlify, în jur de 5.000 nu aveau niciun fel de autentificare. Aproape 40 la sută din aceste aplicații neprotejate ținute aveau date sensibile — informații despre utilizatori, jurnale de conversații, date de plată, credențiale interne. Cifrele au aterizat săptămâna aceasta pe WIRED, Axios și Security Boulevard și descriu o categorie de defect pe care industria o adună în tăcere de doi ani.

Generatoarele numite sunt platformele pe care orice non-programator le cunoaște deja. Lovable, Replit, Base44 și ecosistemul mai larg al uneltelor „construiește dintr-un prompt” vând dintotdeauna aceeași promisiune implicită — IA nu înlocuiește doar tastarea codului, înlocuiește și inginerul care ar trebui să se uite. Alegi un prompt, vezi aplicația apărând, o trimiți în producție prin Netlify sau Vercel, distribui linkul. Ceea ce scanarea RedAccess documentează este ceea ce a intrat în producție fără ca cineva din acea buclă să întrebe dacă aplicația are nevoie de încuietoare.

Vulnerabilitățile nu sunt subtile. Aplicațiile neprotejate nu cereau un atacator priceput — cereau un browser. Multe se lansau cu chei Supabase sau Firebase încorporate direct în bundle-ul clientului, ceea ce înseamnă că orice persoană interesată poate citi baza de date. Unele acordau acces de scriere asupra aceleiași baze, așa încât un străin poate edita înregistrările utilizatorilor tăi. Câteva expuneau endpoint-uri de administrare. Categoria defectului nu este nici un zero-day, nici un caz-limită prost configurat. Este absența completă a stratului de securitate.

S‑ar putea să‑ți placă șiTehnologia cuantică în Asia-Pacific: O nouă frontieră a inovației

Scepticismul își are locul aici, pentru că tentația de a învinovăți uneltele este mare și doar parțial corectă. Un programator junior care construiește aceeași aplicație de la zero fără supraveghere ar livra ceva asemănător. Diferența este volumul. Uneltele de vibe-coding coboară pragul suficient cât numărul total de aplicații lansate de oameni care nu pot raționa singuri despre autentificare să fi explodat. Uneltele pot tehnic să ofere scaffolding pentru autentificare, dar fluxul implicit nu îl impune, iar utilizatorii care beneficiază cel mai mult de aceste unelte sunt tocmai cei mai prost echipați pentru a observa lipsa. Lovable spune că lucrează la activarea scaffolding-ului de autentificare în mod implicit. Replit a indicat configurările de securitate deja existente, recunoscând că utilizatorii le pot dezactiva. Base44 nu a comentat public. Platformele reacționează — întrebarea este dacă reacția merge mai repede decât curba de lansări.

Lectura structurală este mai greu de înghițit. De doi ani industria vinde scoaterea revizuirii profesionale din pipeline-ul de deploy ca pe o caracteristică, nu ca pe un cost. Datele RedAccess arată cum arată acea scoatere la scară. Aplicațiile funcționează pentru utilizatorul care le-a construit și funcționează și pentru oricine găsește URL-ul. Următorii doi ani vor fi probabil o acumulare lentă de astfel de incidente, până când platformele vor impune autentificarea la nivel de framework în mod implicit, sau până când autoritățile de reglementare le vor obliga. Ambele se pot întâmpla. Regimul european de răspundere pentru produs este deja recitit pentru a acoperi software-ul generat de IA, iar procurorii generali ai statelor americane au început să dea târcoale.

Ce pot face astăzi utilizatorii acestor platforme este îngust. RedAccess a publicat ghiduri pentru cele patru unelte numite — verifică dacă aplicația cere autentificare înainte de orice acces la date, audită cheile livrate în bundle-ul clientului și pleacă de la premisa că orice URL distribuit este deja scanat de cineva. Platformele au promis îmbunătățiri. Scanarea care a produs această poveste a durat câteva zile. Următoarea este deja în pregătire.

Mai multe articole similare

Meridiem Games anunță lansarea colecției speciale The Pixel Pulps pentru Nintendo Switch și PlayStation 5

Noul personaj adaugă profunzime jocului „Touhou Gensou Eclipse”

Soulmask: Jocul de supraviețuire open-world mult așteptat a ajuns în Early Access pe Steam

Drona autonomă cu Starlink care transformă dispeceratul de urgență într-o decizie algoritmică

Cele mai așteptate jocuri pentru anul viitor: Grand Theft Auto VI (GTA 6)

Adio, Siliciu: China dezvăluie „LightGen”, procesorul care folosește lumina pentru a sfida Nvidia și a sparge bariera căldurii