À medida que a IA cada vez mais assume o trabalho dos programadores modernos, o mundo da segurança cibernética alertou que as ferramentas de codificação automatizadas certamente introduzirão uma nova abundância de bugs hackeáveis no software program. Porém, quando essas mesmas ferramentas de codificação convidam qualquer pessoa a criar aplicativos hospedados na Internet com um clique, verifica-se que as implicações de segurança vão além dos bugs, chegando à whole ausência de qualquer segurança – até mesmo, às vezes, para dados corporativos e pessoais altamente confidenciais.
O pesquisador de segurança Dor Zvi e sua equipe da empresa de segurança cibernética que ele cofundou, RedAccess, analisaram milhares de aplicativos da internet codificados por vibração criados usando as ferramentas de desenvolvimento de software program de IA Lovable, Replit, Base44 e Netlify e encontraram mais de 5.000 deles que praticamente não tinham segurança ou autenticação de qualquer tipo. Muitos desses aplicativos da internet permitiam que qualquer pessoa que apenas encontrasse seu URL da internet acessasse os aplicativos e seus dados. Outros tinham apenas barreiras triviais para esse acesso, como exigir que o visitante fizesse login com qualquer endereço de e-mail. Cerca de 40% dos aplicativos expuseram dados confidenciais, diz Zvi, incluindo informações médicas, dados financeiros, apresentações corporativas e documentos estratégicos, bem como registros detalhados de conversas de clientes com chatbots.
“O resultado closing é que as organizações estão, na verdade, vazando dados privados por meio de aplicativos de codificação de vibração”, diz Zvi. “Este é um dos maiores eventos de todos os tempos em que as pessoas expõem informações corporativas ou outras informações confidenciais a qualquer pessoa no mundo.”
Zvi diz que a busca pelo RedAccess em busca de aplicativos internet vulneráveis foi surpreendentemente fácil. Lovable, Replit, Base44 e Netlify permitem que os usuários hospedem seus aplicativos da internet nos próprios domínios dessas empresas de IA, em vez de nos domínios dos usuários. Assim, os pesquisadores usaram pesquisas diretas no Google e no Bing para os domínios dessas empresas de IA, combinadas com outros termos de pesquisa, para identificar milhares de aplicativos que foram codificados por vibração com as ferramentas das empresas.
Dos 5.000 aplicativos codificados por IA que, segundo Zvi, foram deixados publicamente acessíveis para qualquer pessoa que simplesmente digitasse seus URLs em um navegador, ele descobriu cerca de 2.000 que, após uma inspeção mais detalhada, pareciam revelar dados privados: capturas de tela de aplicativos da internet que ele compartilhou com a WIRED – vários dos quais a WIRED verificou ainda estavam on-line e expostos – mostravam o que pareciam ser atribuições de trabalho de um hospital com informações pessoalmente identificáveis de médicos, informações detalhadas de compra de anúncios de uma empresa, o que parecia ser a apresentação da estratégia de entrada no mercado de outra empresa, os registros completos de um varejista das conversas de seu chatbot com os clientes, incluindo os nomes completos e informações de contato dos clientes, os registros de carga de uma empresa de transporte e diversos registros financeiros e de vendas de uma variedade de outras empresas. Em alguns casos, diz Zvi, ele descobriu que os aplicativos expostos lhe permitiriam obter privilégios administrativos sobre os sistemas e até mesmo remover outros administradores.
No caso do Lovable, Zvi diz que também encontrou vários exemplos de websites de phishing que se faziam passar por grandes corporações, incluindo Financial institution of America, Costco, FedEx, Dealer Joe’s e McDonald’s, que pareciam ter sido criados com a ferramenta de codificação de IA e hospedados no domínio do Lovable.
Quando a WIRED perguntou às quatro empresas de codificação de IA sobre as descobertas do RedAccess, a Netlify não respondeu, mas as outras três empresas rejeitaram as afirmações dos pesquisadores e protestaram que não haviam compartilhado o suficiente de suas descobertas ou fornecido tempo suficiente para que respondessem. (A RedAccess diz que entrou em contato com as empresas na segunda-feira.) Mas eles não negaram que os aplicativos da internet que a RedAccess encontrou ficaram expostos.
“A partir das informações limitadas que eles compartilharam, [RedAccess’s] A alegação principal parece ser que alguns usuários publicaram aplicativos na internet aberta que deveriam ser privados”, escreveu o CEO da Replit, Amjad Masad, em uma postagem de resposta no X. “O Replit permite que os usuários escolham se os aplicativos são públicos ou privados. Aplicativos públicos acessíveis na Web são um comportamento esperado. As configurações de privacidade podem ser alteradas a qualquer momento com um único clique.”
