Érzékeny adatok bárki számára elérhetők
A kutatók 380 000 olyan nyilvános alkalmazást, adatbázist és infrastruktúrát találtak, melyek vibe coding platformokon készültek. Ezek közül 5 000 – vagyis több mint 1% – tartalmazott érzékeny céges információkat. Elérhetők voltak például hajózási vállalatok kikötési menetrendjei, egészségügyi cégek klinikai kutatásai, egy brit bútorgyártó ügyfélszolgálati beszélgetései, brazil bankok pénzügyi adatai.
Az adatszivárgásban még orvos–beteg párbeszédek, kórházi összefoglalók, biztonsági cégek incidensjelentései és hirdetési stratégiák is nyilvánosságra kerültek. Arra lehet következtetni, hogy ezek sértik az adatvédelmi szabályozásokat, például a HIPAA-t, az Egyesült Királyság GDPR-ját vagy Brazília LGPD-jét, ami komoly jogi következményeket is vonhat maga után.
Hamis weboldalak, figyelmetlen fejlesztők
A Lovable platformján csalók adathalász oldalakat is építettek, melyek például a Bank of America, a FedEx, a Trader Joe’s vagy a McDonald’s arculatát imitálták. Bár a Lovable gyorsan intézkedett, az alapvető probléma marad: számos ilyen platformon alapértelmezetten nyilvánosak az alkalmazások – csak az változtat ezen, aki külön erre figyel. Így akár laikus fejlesztők, például egy termékmenedzser vagy akár otthon kísérletező édesanya is indíthat úgy céges eszközt, hogy az gond nélkül megjelenik a neten, kulcsfontosságú hozzáférések korlátozása nélkül.
Kritikus biztonsági hibák
Nem egyedi esetről van szó. 2025 októberében az Escape.tech több mint 2 000 súlyos sebezhetőséget, 400-nál is több kiszivárgott API-kulcsot és 175, személyes adatot tartalmazó nyilvános eszközt tárt fel. Mindegyik éles rendszer volt, és akár órák alatt bárki felfedezhette. Például a Base44 platformján júliusban derült ki, hogy bárki megerősített fiókot hozhatott létre pusztán egy nyilvános app_id ismeretével; a rést kevesebb mint egy nap alatt javították.
Probléma az is, hogy az MI által generált kódok gyakran ugyan szintaktikailag helyesek, viszont hiányzik belőlük a teljes rendszerarchitektúra vagy a céges működési szabályok ismerete, így mélyebb hibák, védtelenségek maradnak rejtve. Egyes platformok, például a Lovable szerint a felhasználók felelőssége megvédeni az adataikat – csakhogy a nem szakmabeli fejlesztő erre egyszerűen nem képes.
Az MI-árnyék tényleg új járvány
Egy másik jelentés szerint a vállalatok 20%-a tapasztalt már MI-árnyékkal kapcsolatos adatszivárgást, amelyek átlagos költsége 4,63 millió dollárt (kb. 1,7 milliárd forintot) tett ki – és ezekben az esetekben az érintett cégeknél 65%-ban személyes ügyféladat is érintett volt. Mindez a legtöbb szervezetnél anélkül történik, hogy a vezetés akár csak tudna róla: 63%-uknak nincs semmilyen MI-irányítási szabályzata, és 73,8%-ban engedély nélkül használják a ChatGPT-t irodai környezetben.
Hogyan védekezhetnek a vállalatok?
Első lépésként automatizált DNS- és tanúsítvány-átláthatósági vizsgálatot kell futtatni a főbb vibe coding platformokon (Lovable, Replit, Base44, Netlify), hogy egyáltalán megtudják, milyen alkalmazásokat telepítettek a cégen belül. Meg kell akadályozni a nem hitelesített alkalmazások hozzáférését a vállalati adatforrásokhoz, kötelezővé kell tenni a biztonsági vizsgálatokat a publikálás előtt, és a szoftverminőség-biztosítási („AppSec”) folyamatot ki kell terjeszteni a civil fejlesztők által készített alkalmazásokra is.
Kulcsfontosságú az MI-eszközhasználati szabályzat közzététele, és rendszeres ellenőrzés bevezetése az engedély nélküli MI-alkalmazások szűrése érdekében.
Az informatikai biztonság új rétege: amit nem látsz, az tényleg veszélyes
A legnagyobb veszély, hogy ezek az alkalmazások a hagyományos rendszerfeltérképező eszközök számára láthatatlanok: szokatlan, gyorsan változó aldomainokon futnak, CDN mögött rejtőznek, nincsenek katalogizálva, így a biztonsági csapat csak akkor szembesül velük, ha már beütött a baj. Arra lehet következtetni, hogy a szervezetek többsége még azt sem tudja, hogy egy-egy alkalmazásuk milyen adatokat, kinek és hol tesz elérhetővé.
Ki felelős, ha megtörténik a baj?
A platformok egymásra és a felhasználóra mutogatnak. Az viszont egyértelmű, hogy a legtöbb MI-alapú fejlesztőeszköz inkább a laikusokhoz szól, akik nem gondolnak a hozzáférés-szabályozásra vagy adatvédelemre. Ennek eredménye: bizalmas adatok, amelyekről senki sem tud a cégen belül, szabadon áramlanak a neten – amíg egy támadó rájuk nem talál.
A megoldás: már most el kell kezdeni keresni a rejtett alkalmazásokat. Akik késlekednek, azok magukról olvashatnak legközelebb a bulvárlapokban.
