随着AI编程工具开发的应用数量持续增加,企业内部信息因配置不当而暴露在互联网上的风险也在上升。
Axios 5月7日援引以色列网络安全公司RedAccess的说法称,借助Lovable、Base44、Replit、Netlify等工具开发的约38万款应用目前处于公开可访问状态,任何人均可通过互联网访问。其中约5000款应用涉及敏感企业数据。
Axios核查发现,相关公开应用涉及多个行业场景,包括包含港口预计靠港船舶信息的航运公司应用、记录英国全国临床试验情况的医疗健康企业内部应用、英国家具企业的客服对话记录,以及巴西某银行的内部财务信息。
RedAccess称,暴露的数据还包括儿童长期照护机构中的患者对话、安全公司的事故响应信息、医院医生与患者的对话摘要、患者投诉、员工日程安排,以及学校课程录音、学生信息和教师日程等内容。
研究人员指出,部分所谓“氛围编程”工具在默认设置下会将应用设为公开状态,用户如果不手动调整权限,相关内容就可能对外开放,并被Google等搜索引擎收录和索引。
RedAccess首席执行官Dor Zvi表示,人们几乎无需获得公司许可,就能轻易制作相关内容并直接投入生产环境,而要对面向全球用户逐一开展安全教育,在现实中并不可行。
对于相关说法,Replit首席执行官Amjad Masad回应称,公开应用本就意味着可通过互联网访问。Base44母公司Wix的一名发言人则表示,RedAccess并未披露用于核查相关问题应用的具体URL。Lovable方面称,已着手调查并清理钓鱼网站。
RedAccess还表示,其发现冒充Bank of America、FedEx、Trader Joe's、McDonald's等品牌的钓鱼网站中,也有部分是通过Lovable制作的。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr