Компания RedAccess, специализирующаяся на кибербезопасности, опубликовала любопытный отчёт по исследованию сайтов, созданных при помощи ИИ. По заключению экспертов, такие ресурсы буквально напичканы «дырами», легко сливающими конфиденциальные данные своих пользователей.
Специалисты обнаружили более 5000 сайтов без инструментов защиты персональных данных. Доступ к программной части и файлам таких порталов оказалось легко получить, имея на руках лишь их URL. Найти такие сайты тоже не составит особого труда: платформы Lovable, Replit, Base44 и Netlify размещают их на собственных поддоменах.
Во время эксперимента исследователям удалось получить такую конфиденциальную информацию, как планы медицинских учреждений с личными данными врачей, данные о закупке рекламы, а также переписки продавцов с клиентами, содержащие полные имена и контактную информацию. В некоторых случаях у них получилось даже предоставить себе права администратора на «ИИ-сайтах».
По прогнозам RedAccess, ситуация с так называемым вайбкодингом будет только усугубляться. При помощи ИИ можно генерировать не только сайты, но и приложения, которые не менее уязвимы, при этом пользователю разница между «нормальным» и «дырявым» кодом, как правило, не видна.
Некоторые компании, разрабатывающие инструменты для ИИ-программирования, уже прокомментировали отчёт экспертов. Генеральный директор Replit Амджад Масад заявил, что некоторые платформы просто по какой-то причине сделали свои приватные проекты публичными, не меняя настроек конфиденциальности.
Представитель компании Lovable отметил, что компания расследует заявление RedAccess, но подчеркнул, что разработчики несут ответственность за то, как настроены их приложения.
