A medida que la IA mejora Al asumir los trabajos de los programadores modernos, el mundo de la ciberseguridad ha advertido que las herramientas de codificación automatizadas inevitablemente introducirán muchos errores nuevos que se pueden piratear en el software. Sin embargo, cuando la herramienta de codificación por vibración invitó a cualquiera a crear una aplicación alojada en la web con un solo clic, resultó que las implicaciones de seguridad iban más allá de los errores, hasta la inexistencia. cada seguridad, incluso, a veces, para datos corporativos y personales altamente confidenciales.
El investigador de seguridad Dor Zvi y su equipo en la empresa de ciberseguridad que fundó, RedAccess, analizaron miles de aplicaciones web con código de vibración creadas con las herramientas de desarrollo de software de inteligencia artificial Lovable, Replit, Base44 y Netlify y descubrieron que más de 5.000 de ellas carecían de seguridad o autenticación. Muchas de estas aplicaciones web permiten que cualquiera que simplemente encuentre la URL de su web acceda a la aplicación y a sus datos. Otros sólo tienen barreras menores de acceso, como exigir a los visitantes que inicien sesión con cualquier dirección de correo electrónico. Alrededor del 40 por ciento de las aplicaciones exponen datos confidenciales, dijo Zvi, incluida información médica, datos financieros, presentaciones de empresas y documentos estratégicos, así como registros detallados de conversaciones de clientes con chatbots.
“El resultado final es que las organizaciones filtran datos personales a través de aplicaciones de codificación por vibración”, dijo Zvi. “Este es uno de los eventos más grandes jamás realizados en el que personas han revelado información corporativa confidencial o de otro tipo a cualquier persona en el mundo”.
Zvi dijo que la búsqueda de RedAccess de aplicaciones web vulnerables fue sorprendentemente fácil. Lovable, Replit, Base44 y Netlify permiten a los usuarios alojar sus aplicaciones web en el propio dominio de la empresa de IA, en lugar del del usuario. Entonces, los investigadores utilizaron búsquedas directas en Google y Bing para el dominio de la empresa de inteligencia artificial combinadas con otros términos de búsqueda para identificar miles de aplicaciones que habían sido codificadas por vibración con las herramientas de la empresa.
De las 5.000 aplicaciones codificadas con IA que, según Zvi, eran de acceso público para cualquiera que simplemente escribiera sus URL en un navegador, encontró casi 2.000 que, tras una inspección más cercana, parecían revelar datos personales: capturas de pantalla de las aplicaciones web que compartió con WIRED (algunas de las cuales WIRED verificó que todavía estaban en línea y expuestas) muestran lo que parecen ser asignaciones de trabajo hospitalarias con información de identificación personal de los médicos, información detallada sobre las compras de publicidad de la compañía, lo que parece ser otra compañía. La presentación de la estrategia de comercialización incluye la conversación completa del chatbot de un minorista con un cliente, incluido el nombre completo y la información de contacto del cliente, los registros de carga de la compañía naviera y una variedad de registros financieros y de ventas de varias otras empresas. En algunos casos, dijo Zvi, descubrió que las aplicaciones expuestas le permitirían obtener privilegios administrativos sobre el sistema e incluso eliminar a otros administradores.
En el caso de Lovable, Zvi dijo que también encontró numerosos ejemplos de sitios de phishing que se hacían pasar por grandes empresas, incluidos Bank of America, Costco, FedEx, Trader Joe’s y McDonald’s, que parecían haber sido creados con herramientas de codificación de inteligencia artificial y alojados en el dominio de Lovable.
Cuando WIRED preguntó a cuatro empresas de codificación de IA sobre los hallazgos de RedAccess, Netlify no respondió, pero otras tres empresas rechazaron las afirmaciones de los investigadores y protestaron porque no habían compartido sus hallazgos lo suficiente ni les habían dado suficiente tiempo para responder. (RedAccess dijo que se comunicó con la compañía el lunes). Pero no negó que las aplicaciones web que RedAccess descubrió quedaron expuestas.
“A partir de la información limitada que compartieron, la afirmación principal (de RedAccess) parece ser que algunos usuarios han publicado aplicaciones en la web abierta que deberían ser privadas”, escribió el CEO de Replit, Amjad Masad, en una publicación de respuesta en
