40 prosent av AI-genererte apper lekker sensitive data

Sjekka tusenvis av apper fra Lovable, Bolt, Base44, Replit og v0, og ble ikke spesielt imponert.

Verktøy for vibbekoding lager ofte usikre applikasjoner. Og de foreslår å fjerne sikkerhetsmekanismer du eventuelt legger til selv, ifølge en ny undersøkelse.
Kurt Lekanger
journalist, kode24.no
Publisert

Hele 40 prosent av AI-genererte apper lekker sensitive data, ifølge en undersøkelse gjort av Mobb. Det er The New Stack som skriver dette.

Mobb leverer verktøy for nettopp å sikre AI-generte apper, og har dermed en egeninteresse av å gå ut med en slik undersøkelse – men det at AI kan skrive kode med sårbarheter og sikkerhetshull er ganske velkjent

Undersøkelsen er gjort ved å analysere flere tusen applikasjoner bygget med fem store AI-baserte kodeplattformer: Lovable, Bolt, Base44, Replit og v0. Det ble fokusert spesielt på å finne ut om applikasjonene utilsiktet eksponerte sensitive data via databaser som var åpent tilgjengelig på nettet. 

– Det vi oppdaget var både urovekkende og en øyeåpner, skriver Tomer Cohen, produktsjef i Mobb. 

Lekker som en sil

– Mer enn 40 prosent av applikasjonene vi testet på tvers av alle plattformene inneholdt en viss grad av eksponering av sensitiv informasjon. 

– Det betyr at nesten halvparten av alle AI-genererte apper vi undersøkte, utilsiktet delte privat informasjon med internett.

Sensitiv informasjon som ble lekket var blant annet:

  • Personlig identifiserbar informasjon (PII): Fullt navn, e-postadresser, telefonnumre og fysiske adresser

  • Finansiell informasjon: Transaksjonsdata, betalingsinformasjon og faktureringsdetaljer

  • Private samtaler: Brukermeldinger, chatlogger og personlige samtaler

  • Autentiseringsdata: Passord-hasher og sikkerhetsinformasjon

Vi oppdaget sårbare applikasjoner med lekkasje av sensitive data på hver eneste plattform vi undersøkte.

Skriveaksess til databaser

I tillegg til å lekke potensielt sensitiv informasjon, avdekket undersøkelsen også noe enda mer alvorlig:

Rundt 20 prosent av applikasjonene tillot fullstendig ubegrenset tilgang til databasen. Dermed vil det være mulig for hvem som helst å opprette nye oppføringer i databasen, endre eksisterende data eller slette informasjon. 

– Problemet er ikke isolert til én eller to plattformer. Vi oppdaget sårbare applikasjoner med lekkasje av sensitive data på hver eneste plattform vi undersøkte. Problemet virker å være systematisk, mer enn plattform-spesifikt, skriver Cohen.

Burde advart

Cohen skriver at når du vibbekoder en nettside for eksempel for å lage et bookingsystem, så vil databasetabellene typisk være offentlig tilgjengelige for både lesing og skriving. 

– Enda mer kritisk er at plattformene ikke på noe punkt advarer deg mot disse sikkerhetsproblemene. 

Hvis man selv prøver å fikse sikkerhetsproblemet ved å skru på Row Level Security (RLS) for å begrense hvem som skal ha tilgang til databasen, så vil applikasjonen i mange tilfeller slutte å fungere.

– Den AI-genererte koden er ikke designet for å fungere med skikkelige sikkerhetsmekanismer.

AI-assistentenes løsning for å "reparere" appen igjen er ifølge Cohen i mange tilfeller å fjerne RLS og igjen la alle dataene bli synlige for hele verden – uten advarsler.

kunstig intelligens lovable vibbekoding replit sikkerhet sårbarhet v0 ai artikkel vibe coding bolt it-sikkerhet
Powered by Labrador CMS