米ニュースサイトのAxiosは7日、イスラエルのサイバーセキュリティ企業RedAccessの調査として、LovableやBase44、Replit、Netlifyなどのツールで作成されたアプリ約38万件が、外部公開され、誰でもアクセスできる状態にあったと報じた。RedAccessは、このうち約5000件に企業の機密情報が含まれている可能性があるとしている。

問題となったのは、いわゆる「バイブコーディング」と呼ばれるAIコーディングツールを使って開発されたアプリだ。Axiosによると、外部公開されていたアプリには、港への入港予定船舶の情報を扱う海運会社のアプリのほか、英国全土の臨床試験の状況を扱うヘルスケア企業の社内アプリ、英家具会社のカスタマーサービスの会話記録、ブラジルの銀行の社内財務情報などが含まれていた。

このほか、児童の長期療養施設における患者との会話記録や、セキュリティ企業のインシデント対応情報、病院での医師と患者の会話要約、患者の苦情、職員の予定、さらに授業の録画データや学生情報、教員の予定を含む学校関連の情報も確認されたという。

研究者によれば、一部のバイブコーディングツールでは、アプリが初期設定で公開状態になる仕様となっており、利用者が手動で設定を変更しない限り、誰でもアクセスできる。こうしたアプリはGoogleなどの検索エンジンにインデックスされる場合もあるという。

RedAccessのCEO、ドール・ズビ氏は、「人々が会社の許可を得ないまま、これほど簡単にアプリを作り、本番環境で使えてしまう状況には歯止めが利かない」と述べたうえで、「世界中の利用者すべてにセキュリティ教育を徹底するのは現実的ではない」と語った。

これに対し、ReplitのCEO、アムジャド・マサド氏は、公開アプリがインターネット経由でアクセス可能なのは仕様通りの動作だと反論した。Base44を傘下に持つWixの広報担当者は、問題のあるアプリを確認するために必要なURLを、RedAccess側が共有しなかったと説明した。Lovableは、フィッシングサイトの調査と削除に着手したとしている。

RedAccessはあわせて、Bank of America、FedEx、Trader Joe's、McDonald'sなどになりすますフィッシングサイトがLovableで作成されていたことも確認したと明らかにした。