Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
PCMag · 10.5., 08:10 · sikkerhet

Vibe-kodede apper lekker sykehusdata: 5.000 lovable-, replit- og base44-apper uten autentisering

SYNOPSIS_GENERERT

Sikkerhetsfirmaet RedAccess fant 5.000 vibe-kodede apper på Lovable, Replit, Base44 og Netlify uten reell autentisering. 40 prosent eksponerte sensitiv data som sykehusvaktlister og finansrapporter.

I 2017 lekket tusenvis av AWS S3-bøtter sensitive bedriftsdata fordi default-tilgangen var «public» og utviklere ikke skjønte konsekvensen. Sikkerhetsfirmaet RedAccess sier vi nå ser samme mønster med vibe-koding, og publiserte funn via Wired denne uken som dokumenterer 5.000 web-apper bygget med no-code KI-verktøy uten reell autentisering.

Forskerteamet ledet av Dor Zvi gjennomgikk apper fra Lovable, Replit, Base44 og Netlify-deploys. Mange hadde «praktisk talt ingen sikkerhet eller autentisering av noe slag». I noen tilfeller kunne hvem som helst med riktig URL lese all data. I andre var barrieren «trivielle», som å logge inn med en hvilken som helst e-postadresse.

Eksponeringen er konkret og navngitt. RedAccess fant sykehusvaktlister med leger sine personopplysninger, et selskaps go-to-market-strategi, og salgs- og finansrapporter fra flere bedrifter. Dette er ikke hypotetisk angrepsflate, men data som allerede ligger åpent på internett.

«Noen fra et marketing-team vil lage en nettside. De er ikke ingeniører, og har trolig liten eller ingen sikkerhetsbakgrunn. Med mindre verktøyene blir bedt om å lage sikre applikasjoner, kommer de ikke til å gjøre det av seg selv.» — Joel Margolis, sikkerhetsforsker, til Wired

Plattformene avviser deler av rammingen. Wix, som eier Base44, sier RedAccess «bevisst holdt tilbake URL-ene som ville latt oss identifisere og undersøke applikasjonene», og at de eksponerte appene var «satt til offentlig av eierne selv». Lovable sier de undersøker, men at rapporten manglet tekniske detaljer for verifisering. Pushback fra plattformene er ikke uvanlig, men kjernepoenget står: standardinnstillingene tillater dette.

Hva bør du gjøre?

  1. Audit dine egne vibe-kodede apper. Hvis du har bygget noe i Lovable, Replit, Base44 eller via Netlify-deploys, sjekk om appen krever pålogging og om datakilder er beskyttet. Test ved å åpne URL-en i en innlogget privat-modus-fane.
  2. Be eksplisitt om autentisering i prompten. No-code-verktøy genererer ikke sikkerhet by default. Spør modellen direkte: «Legg til Supabase Row Level Security» eller «Krever JWT-autentisering for alle endepunkter».
  3. Tenk skille på data og demo. Hvis du tester en idé, ikke koble på ekte kundedata. RedAccess-funnene viser at testing-miljøer ofte havner i produksjonsindekser.

Bakgrunn

Vibe-koding er begrepet for å bygge programvare ved å beskrive hva man vil ha til en KI-modell, gjerne uten å skrive kode selv. Lovable, Replit Agent og Base44 har vokst raskt i 2025 og 2026 fordi de lar ikke-utviklere produsere fungerende web-apper på timer. Mønsteret er kjent fra tidligere lavterskel-plattformer: når sikkerhet ikke er default, blir det glemt.

Åpne eksternt kildedokument
sikkerhetvibe-codingpersonvern

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN