Приложение вашего коллеги, созданное с помощью искусственного интеллекта, может раскрывать корпоративные секреты.

Инструменты для программирования с использованием ИИ сделали создание веб-приложений невероятно простым, и теперь на их настройку уходит всего несколько минут. Эта простота снизила барьер для разработки приложений, что порождает ряд новых проблем. Что же происходит, когда эти созданные с помощью ИИ приложения запускаются без проверки со стороны разработчиков? Секреты начинают распространяться по всему интернету.

В отчете WIRED освещается серьезная проблема безопасности, связанная с так называемыми «приложениями с заданным настроением », которые создаются с использованием платформ разработки ИИ, таких как Lovable , Replit, Base44 и Netlify.

Почему это гораздо более серьезная проблема, чем вы думаете.

Исследователь в области безопасности Дор Цви и его команда из RedAccess проанализировали тысячи таких приложений и обнаружили более 5000, которые имели минимальную или вовсе отсутствующую защиту или аутентификацию. К большинству из этих приложений мог получить доступ практически любой, кто находил «правильный» URL-адрес. Некоторые из них имели лишь минимальные барьеры, позволяя посетителям входить в систему с помощью любого адреса электронной почты. Почти половина этих уязвимых приложений, по словам Цви, содержала конфиденциальные данные, такие как медицинская информация, финансовые отчеты, корпоративные презентации, стратегические документы и журналы чат-ботов клиентов.

Как сообщается, в ходе расследования также были обнаружены рабочие задания в больницах, содержащие персональные данные, информацию о закупке рекламы, стратегии презентаций на рынке, данные о продажах и даже переписку с клиентами, в которой указывались их имена и контактные данные. Несколько из этих приложений все еще работали, хотя WIRED не смог подтвердить, были ли все изученные данные подлинными или конфиденциальными.

Как программирование с использованием «вайба» стало опасным в IT

Эта история не ограничивается лишь одной партией некачественных приложений на основе ИИ. Эти инструменты позволяют людям, не имеющим опыта в разработке программного обеспечения или обеспечении безопасности, быстро создавать и публиковать приложения, что часто выходит за рамки обычных процессов утверждения в ИТ-отделе. Таким образом, сотрудник отдела маркетинга, операционный работник или основатель компании может создать инструмент для внутреннего использования, подключить его к реальным данным и случайно оставить его открытым для доступа из интернета.

Цви сравнил это со старой волной утечки данных из хранилищ Amazon S3, когда неправильная конфигурация привела к массовой утечке конфиденциальных данных. Исследователь в области безопасности Джоэл Марголис рассказал WIRED, что инструменты для разработки программного обеспечения на основе ИИ делают только то, что от них требуется. Поэтому, если пользователь явно не запрашивает безопасность, приложение может быть небезопасным по умолчанию.

Что сказали компании?

Генеральный директор Replit Амджад Масад написал на X, что некоторые пользователи опубликовали в открытом доступе приложения, которые должны были быть приватными, добавив, что доступность публичных приложений в сети является ожидаемым поведением. Между тем, Lovable заявила, что серьезно относится к сообщениям о раскрытых данных и фишинге и проводит расследование. Материнская компания Base44, Wix, заявила, что ее платформа обеспечивает безопасность и контроль видимости, утверждая, что публичный доступ отражает выбор конфигурации пользователя, а не уязвимость платформы.

Это отрезвляющий урок для всех, кто рассматривает разработку приложений с помощью ИИ как быстрый путь к успеху в стартапе . Приложения, созданные с помощью ИИ, могут развиваться быстро, но эта скорость сопряжена с реальными компромиссами. От слабого контроля до скрытых уязвимостей, приложения, созданные с помощью ИИ, могут стать серьезной проблемой, как только продукт окажется в руках пользователей.