Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Futurism · 11.5., 12:29 · sikkerhet

5 000 vibe-kodede apper hadde «praktisk talt ingen sikkerhet eller autentisering», fant RedAccess

SYNOPSIS_GENERERT

En ny Wired-undersøkelse av Lovable, Replit, Base44 og Netlify viser at 40 prosent av vibe-kodede apper eksponerer sensitive brukerdata, fra journaler til private chat-logger.

Sikkerhetsfirmaet RedAccess gikk gjennom tusenvis av webapper bygget på Lovable, Replit, Base44 og Netlify, og funnene står i en Wired-rapport gjengitt av Futurism 10. mai. 5 000 av dem hadde «praktisk talt ingen sikkerhet eller autentisering av noe slag», og hele 40 prosent eksponerte sensitive data: medisinske journaler, finansiell informasjon, bedriftsdokumenter og logger fra angivelig private chatbot-samtaler.

«Sluttresultatet er at organisasjoner faktisk lekker private data gjennom vibe-coding-applikasjoner. Dette er en av de største hendelsene noen sinne der folk eksponerer bedriftssensitiv eller annen sensitiv informasjon for hvem som helst i verden.» — Dor Zvi, medgrunnlegger i RedAccess

Problemet er strukturelt, ikke kosmetisk. Modellene genererer kode som virker, men ikke kode som er sikker. API-nøkler havner i klient-bundle, autentisering kjøres på frontend i stedet for server, og access-control-sjekker mangler helt. Plattform-svaret er talende: Netlify ignorerte henvendelsen, mens de andre la skylden på brukerne for ikke å ha konfigurert appene riktig før de gikk live.

«Hvem som helst i bedriften din kan generere en app, og dette går ikke gjennom noen utviklingssyklus eller sikkerhetssjekk», sa Zvi videre til Wired. «Folk begynner å bruke det i produksjon uten å spørre noen. Og det gjør de.» For deg som bygger egne KI-prosjekter er den praktiske implikasjonen at en vibe-kodet prototype som lever videre til produksjon, sannsynligvis bærer med seg disse hullene.

Hva bør du gjøre?

  1. Sjekk om dine egne KI-genererte apper har API-nøkler i bundle. Søk gjennom build-output etter prefix som sk-, pk_, AIza eller fulle Supabase-/Firebase-URL-er. Et minutt med grep kan avsløre uker med eksponering.
  2. Flytt all autentisering til server-side. Hvis appen din verifiserer en token i nettleseren før den viser data, har du allerede tapt. Routes skal sjekkes på backend, og data skal hentes fra autorisert kontekst.
  3. Sett opp Row Level Security (RLS) på Supabase eller Firestore før du publiserer en KI-generert app. Det dekker ikke alt, men det stenger den vanligste lekkasjeklassen plattformene leverer.

Bakgrunn

Vibe-coding-plattformer som Lovable, Replit Agent og Base44 lar brukere bygge fungerende apper fra naturlig språk. Salgsargumentet er at du slipper utviklingssyklus og sikkerhetsgjennomgang. RedAccess-undersøkelsen viser at nettopp dette argumentet er årsaken til at sluttresultatet blir utrygt.

Åpne eksternt kildedokument
sikkerhetvibe-codingutvikling

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN