RedAccess выявила более 5 000 "vibe‑coded" веб‑приложений, открыто публикующих персональные и корпоративные данные

Команда безопасности RedAccess под руководством Дора Зви обнаружила более 5 000 веб‑приложений, созданных с помощью инструментов, которые исследователи называют "vibe‑coding" (включая Lovable, Replit, Base44 и Netlify), и отметила, что значительная часть этих проектов была доступна без надёжной защиты. По оценке RedAccess примерно 2 000 приложений — около 40% выборки — прямо раскрывали приватные данные, что делает проблему массовой и значимой для организаций и пользователей. В примерах, приведённых исследователями, находились медицинские приёмы с данными о пациентах и врачах, подробные рекламные бюджеты и презентации go‑to‑market, логи разговоров чат‑ботов с полными именами и контактами клиентов, записи о грузовых отправках и финансовые отчёты. администраторов.

Исследователи связывают проблему с особенностями сервисов‑хостеров и инструментов генерации кода: платформы позволяют быстро развернуть веб‑приложение на собственных доменах и предлагают упрощённые средства для создания сайтов и интерфейсов. Возможность хостинга на домене платформы упростила их поиск — RedAccess использовала стандартные запросы в Google и Bing по доменам перечисленных компаний, чтобы найти и проанализировать уязвимые проекты. По словам Зви, это не столько баг в коде, сколько отсутствие базовой конфигурации безопасности при развертывании.

Компании ответили по‑разному: Netlify на запрос исследователей не ответила; Replit в публичном заявлении CEO Амджада Масада подчеркнула, что платформа предоставляет пользователям выбор между публичным и приватным режимом приложения и что публичный доступ может быть ожидаемым поведением; Lovable заявила о серьёзном отношении к сообщениям о раскрытии данных и фишинговых сайтах. RedAccess утверждает, что связывалась с перечисленными компаниями перед публикацией своих выводов.

Исследователи дают практические рекомендации для разработчиков и команд: проверять настройки приватности и индексирования поисковиками для всех AI‑сгенерированных и тестовых проектов, не хранить чувствительные данные на публичных или тестовых хостингах, внедрять надёжную аутентификацию и регулярно проводить аудиты публичности URL. Это важно, потому что масштаб проблемы обусловлен не только ошибками в коде, но и повсеместным упрощением развёртывания без стандартных мер безопасности. Короткое заключение: массовое использование "vibe‑coding" сервисов упростило создание сайтов, но также расширило поверхность для случайных утечек конфиденциальной информации; если организации и разработчики не пересмотрят практики развёртывания и контроля доступа, подобные инциденты могут повторяться и затрагивать ещё больше данных.