As ferramentas de codificação de IA tornaram ridiculamente fácil a construção de um aplicativo da net e agora leva apenas alguns minutos para configurá-lo. Essa facilidade reduziu a barreira ao desenvolvimento de aplicativos, o que está causando um novo conjunto de problemas. Então, o que acontece quando esses aplicativos criados por IA são lançados sem que ninguém verifique os bloqueios? Você recebe segredos espalhados por toda a Web.
UM COM FIO O relatório destaca um grande problema de segurança em torno dos chamados aplicativos “codificados por vibração”, que são construídos usando plataformas de desenvolvimento de IA, como Lovable, Replit, Base44 e Netlify.
Por que este é um problema maior do que você pensa
O pesquisador de segurança Dor Zvi e sua equipe da RedAccess analisaram milhares desses aplicativos e encontraram mais de 5.000 que tinham pouca ou nenhuma segurança ou autenticação. A maioria desses aplicativos poderia praticamente ser acessada por qualquer pessoa que encontrasse o URL “certo”. Alguns deles tinham barreiras mínimas, permitindo que os visitantes fizessem login com qualquer endereço de e-mail. Quase metade desses aplicativos expostos pareciam conter dados confidenciais, como informações médicas, registros financeiros, apresentações corporativas, documentos estratégicos e registros de chatbots de clientes, disse Zvi.
A investigação também revelou atribuições de trabalho hospitalar com informações de identificação pessoal, dados de compra de anúncios, estratégias de apresentação de mercado, informações de vendas e até conversas de clientes com seus nomes e detalhes de contato. Vários desses aplicativos ainda estavam on-line, embora a WIRED não tenha conseguido verificar se todos os dados revisados eram reais ou confidenciais.
Como a codificação vibe se tornou perigosa em TI
Esta história não se limita apenas a um lote de aplicativos de IA desleixados. Essas ferramentas permitem que pessoas que talvez não tenham experiência em engenharia de software program ou segurança criem e publiquem aplicativos rapidamente, o que muitas vezes está fora dos processos normais de aprovação de TI. Assim, um membro da equipe de advertising and marketing, um trabalhador de operações ou um fundador pode criar uma ferramenta para uso interno, conectá-la a dados reais e, acidentalmente, deixá-la aberta na net.
Zvi comparou isso à antiga onda de buckets expostos do Amazon S3, onde configurações incorretas levavam as empresas a vazar dados confidenciais em grande escala. O pesquisador de segurança Joel Margolis disse à WIRED que as ferramentas de codificação de IA só fazem o que lhes é pedido. Portanto, se um usuário não solicitar segurança explicitamente, o aplicativo poderá não ser seguro por padrão.
O que as empresas disseram?
O CEO da Replit, Amjad Masad, escreveu no X que alguns usuários publicaram aplicativos na net aberta que deveriam ser privados, acrescentando que aplicativos públicos acessíveis on-line são um comportamento esperado. Enquanto isso, a Lovable disse que leva a sério os dados expostos e os relatórios de phishing e está investigando. Wix, controladora da Base44, afirmou que sua plataforma fornece controles de segurança e visibilidade, argumentando que o acesso público reflete as escolhas de configuração do usuário, e não uma vulnerabilidade da plataforma.
Esta é uma verificação da realidade para qualquer pessoa que trate a codificação vibratória como um caminho rápido para o sucesso de uma inicialização. Os aplicativos gerados por IA podem ser movidos rapidamente, mas essa velocidade traz compensações reais. Da fraca supervisão às vulnerabilidades ocultas, os aplicativos construídos por IA podem se tornar um problema sério quando um produto está nas mãos dos usuários.
