O aplicativo de inteligência artificial do seu colega pode estar vazando segredos da empresa.

gurinho

As ferramentas de programação com IA tornaram a criação de aplicativos web ridiculamente fácil, e a configuração leva apenas alguns minutos. Essa facilidade reduziu as barreiras de entrada no desenvolvimento de aplicativos, o que está causando uma nova série de problemas. Então, o que acontece quando esses aplicativos criados com IA são publicados sem que ninguém verifique as senhas? Segredos vazam por toda a internet.

Uma reportagem da WIRED destaca um grande problema de segurança em torno dos chamados aplicativos " codificados por vibração ", que são construídos usando plataformas de desenvolvimento de IA como Lovable , Replit, Base44 e Netlify.

Por que isso é um problema maior do que você imagina.

O pesquisador de segurança Dor Zvi e sua equipe na RedAccess analisaram milhares desses aplicativos e encontraram mais de 5.000 com pouca ou nenhuma segurança ou autenticação. A maioria desses aplicativos podia ser acessada por praticamente qualquer pessoa que encontrasse a URL "certa". Alguns tinham apenas barreiras mínimas, permitindo que os visitantes fizessem login com qualquer endereço de e-mail. Quase metade desses aplicativos expostos parecia conter dados sensíveis, como informações médicas, registros financeiros, apresentações corporativas, documentos de estratégia e logs de chatbots de clientes, disse Zvi.

Programação em um Mac usando máquinas virtuais via VMWare Fusion Pro.
Lee Campbell / Unsplash

A investigação também revelou, segundo relatos, atribuições de trabalho em hospitais com informações de identificação pessoal, dados de compra de anúncios, estratégias de apresentação de mercado, informações de vendas e até mesmo conversas com clientes, incluindo seus nomes e dados de contato. Vários desses aplicativos ainda estavam online, embora a WIRED não tenha conseguido verificar se todos os dados analisados ​​eram reais ou confidenciais.

Como a programação baseada em vibrações se tornou perigosa na área de TI.

Essa história não se limita a um único lote de aplicativos de IA malfeitos. Essas ferramentas permitem que pessoas sem experiência em engenharia de software ou segurança criem e publiquem aplicativos rapidamente, muitas vezes fora dos processos normais de aprovação de TI. Assim, um membro da equipe de marketing, um funcionário da área operacional ou o fundador pode criar uma ferramenta para uso interno, conectá-la a dados reais e, acidentalmente, deixá-la acessível na internet.

Zvi comparou a situação à antiga onda de vazamentos de dados em buckets do Amazon S3, onde configurações incorretas levaram empresas a vazar dados sensíveis em larga escala. O pesquisador de segurança Joel Margolis disse à WIRED que as ferramentas de programação de IA só fazem o que lhes é solicitado. Portanto, se um usuário não solicitar segurança explicitamente, o aplicativo pode não ser seguro por padrão.

programação escolar
wavebreakmedia/Shutterstock

O que disseram as empresas?

O CEO da Replit, Amjad Masad, escreveu no X que alguns usuários publicaram aplicativos na internet aberta que deveriam ser privados, acrescentando que a acessibilidade online de aplicativos públicos é um comportamento esperado. Enquanto isso, a Lovable afirmou que leva a sério os relatos de exposição de dados e phishing e está investigando o caso. A Wix, empresa controladora da Base44, declarou que sua plataforma oferece controles de segurança e visibilidade, argumentando que o acesso público reflete escolhas de configuração do usuário, e não uma vulnerabilidade da plataforma.

Este é um alerta para quem encara a programação intuitiva como um atalho para o sucesso de uma startup . Aplicativos gerados por IA podem ser rápidos, mas essa velocidade tem um preço. Desde supervisão deficiente até vulnerabilidades ocultas, aplicativos criados por IA podem se tornar um problema sério quando o produto chega às mãos dos usuários.