Khoảng 380.000 ứng dụng được tạo bằng các công cụ lập trình AI như Lovable, Base44, Replit và Netlify đang ở chế độ công khai trên Internet, trong đó khoảng 5.000 ứng dụng chứa dữ liệu nhạy cảm của doanh nghiệp.

Theo Axios ngày 7/5 (giờ địa phương), thông tin trên được trích từ báo cáo của công ty an ninh mạng Israel RedAccess. Báo cáo cho biết nhiều ứng dụng phát triển bằng các nền tảng vibe coding đã bị đặt ở trạng thái ai cũng có thể truy cập, làm gia tăng nguy cơ lộ dữ liệu nội bộ ra bên ngoài.

Axios cho biết đã trực tiếp xác minh một số trường hợp bị lộ. Trong đó có ứng dụng của một hãng vận tải biển chứa thông tin về các tàu sắp cập cảng; một ứng dụng nội bộ của công ty y tế tại Anh tổng hợp tình hình thử nghiệm lâm sàng trên toàn quốc; bản ghi hội thoại chăm sóc khách hàng của một doanh nghiệp nội thất tại Anh; và dữ liệu tài chính nội bộ của một ngân hàng ở Brazil.

Danh sách dữ liệu bị lộ còn bao gồm hội thoại của bệnh nhân tại một cơ sở chăm sóc dài hạn cho trẻ em, thông tin ứng phó sự cố của một công ty bảo mật, tóm tắt trao đổi giữa bác sĩ và bệnh nhân tại bệnh viện, đơn khiếu nại của bệnh nhân, lịch làm việc của nhân viên, cùng bản ghi lớp học, thông tin học sinh và lịch giảng dạy của giáo viên.

Theo các nhà nghiên cứu, nguyên nhân đến từ cài đặt quyền riêng tư mặc định của một số công cụ vibe coding, vốn để ứng dụng ở chế độ công khai. Nếu người dùng không chủ động chuyển sang thiết lập khác, bất kỳ ai cũng có thể truy cập. Các ứng dụng này cũng bị các công cụ tìm kiếm như Google lập chỉ mục.

CEO RedAccess Dor Zvi cho rằng hiện gần như không có rào cản nào ngăn người dùng tạo ra một ứng dụng đơn giản rồi nhanh chóng đưa vào vận hành thực tế mà không cần sự cho phép của doanh nghiệp. Theo ông, trên thực tế không thể đào tạo nhận thức bảo mật cho toàn bộ người dùng trên toàn cầu.

Phản hồi về vấn đề này, CEO Replit Amjad Masad nói việc một ứng dụng công khai có thể truy cập qua Internet là cơ chế hoạt động bình thường. Trong khi đó, người phát ngôn của Wix, công ty sở hữu Base44, cho biết RedAccess không cung cấp các URL cần thiết để xác minh những ứng dụng được nêu trong báo cáo.

Lovable cho biết đã bắt đầu điều tra và gỡ bỏ các trang phishing. RedAccess nói thêm rằng họ cũng phát hiện nhiều trang phishing giả mạo Bank of America, FedEx, Trader Joe's và McDonald's được tạo bằng Lovable.