L'app costruita dall'IA del tuo collega potrebbe rivelare segreti aziendali.

      Gli strumenti di codifica AI hanno reso ridicolmente facile costruire un'app web, e ora ci vogliono solo pochi minuti per configurarla. Questa facilità ha abbassato la barriera allo sviluppo di app, il che sta causando un nuovo insieme di problemi. Quindi, cosa succede quando queste app create dall'AI vengono messe online senza che nessuno controlli le serrature? Si ottiene una fuoriuscita di segreti su Internet.

      Un rapporto di WIRED evidenzia un grave problema di sicurezza riguardo alle cosiddette app "vibe-coded", che sono costruite utilizzando piattaforme di sviluppo AI come Lovable, Replit, Base44 e Netlify.

      Perché questo è un problema più grande di quanto pensi

      Il ricercatore di sicurezza Dor Zvi e il suo team di RedAccess hanno analizzato migliaia di queste app e hanno trovato più di 5.000 che avevano poca o nessuna sicurezza o autenticazione. La maggior parte di queste app poteva praticamente essere accessibile da chiunque trovasse l'URL "giusto". Alcune di queste avevano solo barriere minime, consentendo ai visitatori di accedere con qualsiasi indirizzo email. Quasi la metà di queste app esposte sembrava contenere dati sensibili come informazioni mediche, registrazioni finanziarie, presentazioni aziendali, documenti strategici e registri delle conversazioni con i chatbot dei clienti, ha detto Zvi.

      Lee Campbell / Unsplash

      L'indagine ha rivelato anche assegnazioni di lavoro ospedaliero con informazioni identificabili personalmente, dati di acquisto pubblicitario, strategie di presentazione di mercato, informazioni sulle vendite e persino conversazioni con i clienti con i loro nomi e dettagli di contatto. Diverse di queste app erano ancora online, anche se WIRED non è riuscita a verificare se tutti i dati esaminati fossero reali o sensibili.

      Come la codifica vibe è diventata pericolosa nell'IT

      Questa storia non è limitata a un solo lotto di app AI trascurate. Questi strumenti consentono a persone che potrebbero non avere esperienza in ingegneria del software o sicurezza di costruire e pubblicare app rapidamente, spesso al di fuori dei normali processi di approvazione IT. Quindi un membro del team marketing, un lavoratore delle operazioni o un fondatore può creare uno strumento per uso interno, collegarlo a dati reali e accidentalmente lasciarlo aperto al web.

      Zvi lo ha paragonato alla vecchia ondata di bucket Amazon S3 esposti, dove le configurazioni errate hanno portato le aziende a far trapelare dati sensibili su larga scala. Il ricercatore di sicurezza Joel Margolis ha detto a WIRED che gli strumenti di codifica AI fanno solo ciò che viene chiesto loro. Quindi, se un utente non richiede esplicitamente la sicurezza, l'app potrebbe non essere sicura per impostazione predefinita.

      wavebreakmedia/Shutterstock

      Cosa hanno detto le aziende?

      Il CEO di Replit, Amjad Masad, ha scritto su X che alcuni utenti avevano pubblicato app sul web aperto che avrebbero dovuto essere private, aggiungendo che l'accessibilità delle app pubbliche online è un comportamento previsto. Nel frattempo, Lovable ha dichiarato di prendere sul serio i dati esposti e i rapporti di phishing e sta indagando. La società madre di Base44, Wix, ha affermato che la sua piattaforma fornisce controlli di sicurezza e visibilità, sostenendo che l'accesso pubblico riflette le scelte di configurazione degli utenti piuttosto che una vulnerabilità della piattaforma.

      Questo è un campanello d'allarme per chiunque tratti la codifica vibe come un percorso veloce verso il successo delle startup. Le app generate dall'AI possono muoversi rapidamente, ma quella velocità comporta reali compromessi. Da una supervisione debole a vulnerabilità nascoste, le app costruite con l'AI possono diventare un serio problema una volta che un prodotto è nelle mani degli utenti.