Тысячи приложений, написанных ИИ, сливают корпоративные данные в открытый доступ

Исследователи из компании RedAccess проанализировали тысячи веб-приложений, созданных с помощью популярных ИИ-инструментов для разработки — Lovable, Replit, Base44 и Netlify — и выявили более 5 000 из них, которые не имеют практически никакой защиты. Около 2 000 приложений при детальной проверке оказались открыто доступны любому пользователю сети и содержали реальные чувствительные данные. По словам сооснователя RedAccess Дора Зви, масштаб проблемы сопоставим с волной утечек из неправильно настроенных корзин Amazon S3, которая накрыла корпоративный мир несколько лет назад.

Проблема не в классических уязвимостях кода. Инструменты vibe-coding позволяют любому сотруднику — маркетологу, аналитику, менеджеру по продукту — за несколько минут создать и опубликовать веб-приложение, не привлекая разработчиков и не проходя через стандартные процедуры проверки безопасности. Если пользователь не настроил ограничения доступа, приложение оказывается открытым для всего интернета.

Что именно попало в открытый доступ

Среди данных, которые обнаружили исследователи, — рабочие расписания врачей с персональными данными, детальная информация о закупках рекламы, презентации стратегий выхода на рынок, полные логи переписки чат-ботов с клиентами (включая имена и контактные данные), грузовые записи транспортной компании, а также разнообразные финансовые и коммерческие документы.

В ряде случаев Зви установил, что через уязвимые приложения можно было получить административный доступ к связанным системам и даже удалять других администраторов. Отдельно исследователи зафиксировали на домене Lovable десятки фишинговых сайтов, имитирующих Bank of America, Costco, FedEx, Trader Joe's и McDonald's — по всей видимости, созданных с помощью того же ИИ-инструмента.

Найти уязвимые приложения оказалось тривиально просто: поскольку Lovable, Replit, Base44 и Netlify размещают созданные пользователями приложения на собственных доменах, достаточно было сформировать несложные поисковые запросы в Google и Bing с указанием этих доменов. Никаких специализированных инструментов взлома не потребовалось.

Компании отрицают системную проблему, но не отрицают факты

Когда Wired обратился к четырём компаниям за комментарием, Netlify не ответил вовсе. Остальные три оспорили методологию исследования и посетовали на недостаточное количество переданных примеров, однако не стали отрицать сам факт открытого доступа к найденным приложениям.

Гендиректор Replit Амджад Масад написал в X, что платформа позволяет пользователям самостоятельно выбирать режим доступа — публичный или приватный, а публичные приложения по определению доступны в интернете. Представитель Lovable заявил, что компания «серьёзно относится к сообщениям об утечках» и расследует ситуацию, но ответственность за конфигурацию приложения лежит на его создателе. Пресс-служба Base44 (входит в группу Wix) также указала, что инструменты защиты предоставлены пользователям, а отключение настроек безопасности — осознанный выбор каждого.

Позиция компаний технически корректна, но именно в этом и состоит суть проблемы. Независимый исследователь безопасности Джоэл Марголис, ранее обнаруживший утечку 50 000 детских разговоров с ИИ-игрушкой, формулирует её так:

««Кто-то из маркетинговой команды хочет создать сайт. Он не инженер и, скорее всего, почти не разбирается в безопасности. ИИ-инструменты делают то, о чём их просят. И если вы не попросите сделать это безопасно, они не станут делать это по собственной инициативе».»

Зви проводит прямую параллель с историей Amazon S3: тогда компании от Verizon до WWE случайно открыли огромные массивы данных из-за неочевидных настроек облачного хранилища. Индустрия частично возложила ответственность на Amazon за запутанный интерфейс безопасности. Сейчас история повторяется — только вместо DevOps-инженеров, ошибающихся в консоли AWS, приложения публикуют сотрудники без какого-либо технического бэкграунда.

Что это означает для белорусского бизнеса и IT-рынка

Для белорусских компаний, особенно резидентов ПВТ и Hi-Tech Park, ситуация актуальна по нескольким причинам. Во-первых, vibe-coding инструменты активно используются в продуктовых командах и стартапах — как для прототипирования, так и для внутренних инструментов. Во-вторых, многие белорусские аутсорс-компании разрабатывают продукты для западных клиентов, которые сами могут применять такие инструменты и неосознанно раскрывать данные совместных проектов.

Зви подчёркивает, что 5 000 уязвимых приложений — это только те, что размещены на доменах самих ИИ-платформ. Реальное число приложений с аналогичными проблемами, опубликованных на пользовательских доменах, может быть кратно больше. Фактически любой сотрудник компании сегодня способен за несколько кликов создать и запустить приложение с доступом к корпоративным данным — и это никак не отразится в системах мониторинга ИТ-отдела.

Практический вывод для бизнеса прост: политики информационной безопасности необходимо явно распространить на ИИ-инструменты разработки. Сотрудникам нужно объяснить, что «опубликовать приложение» в Lovable или Replit — это не то же самое, что поделиться файлом внутри корпоративного Google Drive. А ИТ-службам стоит периодически проверять, не появились ли корпоративные данные на публичных поддоменах популярных ИИ-платформ — благо сделать это можно теми же поисковыми запросами, которыми пользовались исследователи RedAccess.

— По материалам Wired: оригинальная статья. Перевод и адаптация — редакция Digital Business.