Technologia

Skan 380 000 aplikacji zbudowanych z pomocą AI znalazł tysiące bez żadnej autentykacji

Skan 380 000 aplikacji zbudowanych z pomocą AI znalazł tysiące bez żadnej autentykacji
Susan Hill
8 maja 2026

Pitch vibe-codingu od 2023 roku brzmi zawsze tak samo — każdy może zbudować aplikację. Nowy skan firmy RedAccess dostarcza pierwszy konkretny rachunek. Spośród około 380 000 aplikacji webowych zbudowanych z użyciem narzędzi do kodowania wspomaganego AI i wdrożonych przez usługi takie jak Netlify, około 5 000 nie miało żadnej formy autentykacji. Niemal 40 procent tych niezabezpieczonych aplikacji przechowywało dane wrażliwe — informacje o użytkownikach, logi rozmów, dane płatności, wewnętrzne dane uwierzytelniające. Liczby trafiły w tym tygodniu do WIRED, Axiosa i Security Boulevard i opisują kategorię awarii, którą branża po cichu odkłada od dwóch lat.

Wymienione generatory to platformy, które każdy nieprogramista już zna. Lovable, Replit, Base44 i szerszy ekosystem narzędzi „buduj z promptu” sprzedają od zawsze tę samą cichą obietnicę — AI nie zastępuje jedynie wstukiwania kodu, zastępuje też inżyniera, który powinien stać w pętli. Wybierasz prompt, patrzysz, jak aplikacja powstaje, wysyłasz ją na produkcję przez Netlify albo Vercel, udostępniasz link. To, co skan RedAccess dokumentuje, to wszystko, co wyszło na produkcję, podczas gdy nikt w tej pętli nie zapytał, czy aplikacja potrzebuje zamka.

Podatności nie są subtelne. Niezabezpieczone aplikacje nie wymagały sprytnego atakującego — wystarczała przeglądarka. Wiele wdrożeń niosło klucze Supabase albo Firebase wbudowane wprost w bundle klienta, co oznacza, że każdy zainteresowany może odczytać bazę danych. Niektóre dawały dostęp do zapisu w tej samej bazie, więc obca osoba może edytować rekordy twoich użytkowników. Kilka odsłaniało endpointy administracyjne. Kategoria błędu to nie zero-day ani źle skonfigurowany przypadek brzegowy. To pełna nieobecność warstwy bezpieczeństwa.

Roland-Garros eSeries i rosnąca rola mobilnego esportu w cyfrowej kulturze sportu

Sceptycyzm jest tu na miejscu, bo pokusa zrzucania winy na narzędzia jest duża i tylko po części słuszna. Junior developer budujący tę samą aplikację od zera bez nadzoru wypuściłby coś podobnego. Różnicą jest wolumen. Narzędzia vibe-codingu obniżają próg na tyle, że łączna liczba aplikacji wdrażanych przez ludzi, którzy nie potrafią samodzielnie rozumować o autentykacji, eksplodowała. Narzędzia technicznie mogą podsuwać szkielet auth, ale domyślny przepływ tego nie wymusza, a użytkownicy, którzy najbardziej korzystają z tych narzędzi, są dokładnie tymi najgorzej wyposażonymi, by zauważyć brak. Lovable mówi, że pracuje nad uruchamianiem szkieletu auth w domyślnym ustawieniu. Replit wskazuje na istniejące już konfiguracje bezpieczeństwa, przyznając, że użytkownicy mogą je wyłączyć. Base44 nie skomentowało publicznie. Platformy reagują — pytanie brzmi, czy reakcja porusza się szybciej niż krzywa wdrożeń.

Lektura strukturalna jest trudniejsza do przełknięcia. Od dwóch lat branża sprzedaje usunięcie zawodowego przeglądu z pipeline’u wdrożeń jako zaletę, nie koszt. Dane RedAccess pokazują, jak to usunięcie wygląda w skali. Aplikacje działają dla użytkownika, który je zbudował, i działają również dla każdego, kto znajdzie URL. Kolejne dwa lata będą prawdopodobnie powolnym narastaniem takich incydentów, aż platformy wymuszą autentykację na poziomie frameworka domyślnie albo aż regulatorzy je do tego zmuszą. Oba scenariusze są możliwe. Reżim odpowiedzialności za produkt w Unii Europejskiej jest już odczytywany na nowo, by objąć oprogramowanie generowane przez AI, a stanowi prokuratorzy generalni w USA zaczęli krążyć wokół tematu.

To, co użytkownicy tych platform mogą zrobić dziś, jest wąskie. RedAccess opublikowało przewodniki dla czterech wymienionych narzędzi — sprawdzić, czy aplikacja wymaga logowania przed jakimkolwiek dostępem do danych, prześwietlić klucze wysyłane w bundle’u klienta, i założyć, że każdy raz udostępniony URL jest już przez kogoś skanowany. Platformy obiecały poprawę. Skan, który wyprodukował tę historię, trwał kilka dni. Kolejny jest już w przygotowaniu.

Więcej podobnych

Spotify Premium dostaje 1400 treningów Peloton za darmo — bez konieczności roweru

Spotify Premium dostaje 1400 treningów Peloton za darmo — bez konieczności roweru

Nowy Razr Ultra Motoroli za 1499 dolarów ładuje cały dzień pracy w 8 minut

Nowy Razr Ultra Motoroli za 1499 dolarów ładuje cały dzień pracy w 8 minut

Agent Perplexity na Maca kosztuje 200 dolarów miesięcznie i czyta twoją pocztę

Agent Perplexity na Maca kosztuje 200 dolarów miesięcznie i czyta twoją pocztę

Oppo Find X9 Ultra ma 10x zoom optyczny i zdejmowany obiektyw 300 mm

Oppo Find X9 Ultra ma 10x zoom optyczny i zdejmowany obiektyw 300 mm

DeepSeek V4 jest pięć razy tańszy od GPT-5 i działa bez chipów Nvidii

DeepSeek V4 jest pięć razy tańszy od GPT-5 i działa bez chipów Nvidii

Europa wchodzi w erę exascale z superkomputerem JUPITER

Europa wchodzi w erę exascale z superkomputerem JUPITER

Dyskusja

Jest 0 komentarzy.