Зворотня сторона vibe coding – серйозні прогалини в кібербезпеці
Стрімке поширення ШІ-інструментів для створення програмного забезпечення починає перетворюватися на серйозну проблему для кібербезпеки. Дослідники попереджають: сервіси, які дозволяють створювати вебзастосунки буквально за допомогою кількох текстових запитів, дедалі частіше стають джерелом витоків конфіденційних даних.
Про це йдеться у новому дослідженні ізраїльської компанії Red Access, яка виявила тисячі відкритих ШІ-застосунків із потенційно чутливою інформацією. Йдеться про дані медичних установ, фінансові документи, внутрішню корпоративну переписку та навіть записи спілкування з клієнтами.
Проблема пов’язана з популярністю так званого «vibe coding» — підходу, коли користувачі без глибоких технічних знань створюють застосунки за допомогою ШІ-платформ. Такі сервіси, як Replit, Netlify та Lovable, значно спрощують розробку, але водночас можуть створювати ризики через недостатню увагу до налаштувань безпеки.
За даними дослідників, було знайдено близько 380 тис. публічно доступних ШІ-застосунків, із яких приблизно 5 тис. містили потенційно конфіденційні дані. Частина витоків стосувалася медичних записів, внутрішніх розкладів персоналу, даних про продажі, маркетингових презентацій та логів чат-ботів із контактною інформацією клієнтів.
У Red Access пояснюють, що багато користувачів навіть не усвідомлюють, що створені ними інструменти після публікації стають доступними в інтернеті. Особливо це стосується нетехнічних користувачів, які не знайомі з принципами керування доступом, авторизацією чи конфігурацією безпеки.
Дослідження також пов’язують із феноменом «тіньового ШІ» — ситуацією, коли співробітники використовують ШІ-інструменти без офіційного дозволу або контролю з боку компанії. Через це корпоративні дані можуть випадково опинятися у відкритому доступі.
Водночас самі платформи частково не погоджуються з критикою. У Replit заявляють, що користувачі самостійно визначають, чи будуть їхні застосунки публічними або приватними. Представники інших платформ також наголошують, що сервіси надають необхідні інструменти безпеки, а відповідальність за конфігурацію лежить на самих розробниках.
Аналітики вважають, що масштаби проблеми лише зростатимуть. Очікується, що вже до кінця року близько 60% нового програмного коду створюватиметься за допомогою ШІ. Хоча такі інструменти демократизують розробку програмного забезпечення, вони також обходять традиційні механізми перевірки безпеки, які використовують професійні команди розробників.
Раніше ми обговорювали, що таке вайб-кодинг і коли він доречний.
