Το vibe coding, το οποίο επιτρέπει σε χρήστες χωρίς τεχνικές γνώσεις να δημιουργούν εφαρμογές λογισμικού με τη βοήθεια της τεχνητής νοημοσύνης, έχει γίνει πολύ δημοφιλές τα τελευταία χρόνια, δίνοντας τη δυνατότητα σε άτομα που δεν είναι προγραμματιστές να δημιουργούν εφαρμογές σε λίγες μόνο ώρες. Ωστόσο, αν σκέφτεστε να στραφείτε στο vibe coding για να φτιάξετε μια διαδικτυακή εφαρμογή, η εταιρεία κυβερνοασφάλειας RedAccess έχει κάποια ανησυχητικά ευρήματα σχετικά με τα πιθανά κενά ασφαλείας που ενδέχεται να προκύψουν. Σε έρευνα που δημοσιεύθηκε για πρώτη φορά στο Wired, μια ομάδα με επικεφαλής τον ερευνητή ασφάλειας Dor Zvi εντόπισε 5.000 εφαρμογές ιστού που είχαν δημιουργηθεί με τη χρήση vibe coding και τα εργαλεία ανάπτυξης Lovable, Replit, Base44 και Netlify, οι οποίες «ουσιαστικά δεν διέθεταν καμία μορφή ασφάλειας ή ελέγχου ταυτότητας». Η RedAccess ισχυρίζεται ότι, σε ορισμένες περιπτώσεις, οποιοσδήποτε βρισκόνταν στη σωστή διεύθυνση URL μπορούσε να έχει πρόσβαση στις εφαρμογές και στα δεδομένα τους. Εν τω μεταξύ, άλλες vibe-coded εφαρμογές ιστού είχαν «μόνο ευτελή εμπόδια» στην πρόσβαση στα δεδομένα της εφαρμογής — για παράδειγμα, τη σύνδεση με «οποιαδήποτε διεύθυνση email». Ο Zvi πρόσθεσε ότι στο 40% των περιπτώσεων, οι εφαρμογές εξέθεταν ευαίσθητες πληροφορίες, όπως ιατρικά δεδομένα, οικονομικά δεδομένα, εταιρικές παρουσιάσεις, έγγραφα στρατηγικής και συνομιλίες που είχαν οι πελάτες με chatbots. Αυτά τα ευαίσθητα δεδομένα φέρεται να περιελάμβαναν αναθέσεις εργασίας νοσοκομείων που περιείχαν προσωπικά αναγνωρίσιμες πληροφορίες γιατρών, παρουσίαση της στρατηγικής εισόδου στην αγορά μιας εταιρείας, καθώς και αρχεία πωλήσεων και οικονομικά αρχεία από διάφορες εταιρείες. Ο Joel Margolis, ερευνητής ασφάλειας, περιέγραψε μερικά από τα ζητήματα που σχετίζονται με τη δημοκρατικοποίηση της πρόσβασης στην ανάπτυξη εφαρμογών. «Κάποιος από μια ομάδα μάρκετινγκ θέλει να δημιουργήσει έναν ιστότοπο. Δεν είναι μηχανικός και πιθανότατα έχει ελάχιστη ή καθόλου εμπειρία ή γνώση σε θέματα ασφάλειας», δήλωσε στο Wired. Πρόσθεσε ότι, εκτός αν ζητηθεί από αυτά τα εργαλεία να δημιουργήσουν ασφαλείς εφαρμογές, «δεν θα κάνουν το παραμικρό από μόνα τους». Πολλές από τις εταιρείες που εμφανίζονται στην έρευνα έχουν εκφράσει αντιρρήσεις. Για παράδειγμα, ο Blake Brodie, εκπρόσωπος της Wix, ιδιοκτήτριας της Base44, δήλωσε στο Axios ότι η RedAccess «απέκρυψε σκόπιμα τις διευθύνσεις URL που θα μας επέτρεπαν να εντοπίσουμε και να εξετάσουμε τις εν λόγω εφαρμογές». Επιπλέον, ανέφερε ότι οι εφαρμογές που φέρεται να εκτέθηκαν είχαν «οριστεί σκόπιμα ως δημόσιες από τους ιδιοκτήτες τους». Ο Brodie δήλωσε επίσης στο Wired ότι δύο παραδείγματα ιστοσελίδων που παρήγαγε η Base44 και του παρουσιάστηκαν φαινόταν να είναι δοκιμαστικές ιστοσελίδες ή περιείχαν δεδομένα που δημιουργήθηκαν από τεχνητή νοημοσύνη. Εν τω μεταξύ, η Samyutha Reddy, εκπρόσωπος της Lovable, δήλωσε στο Axios ότι η έρευνα της RedAccess δεν «περιλάμβανε καμία διεύθυνση URL ή τεχνικές λεπτομέρειες που θα μας επέτρεπαν να επαληθεύσουμε, να διερευνήσουμε ή να αναλάβουμε δράση σχετικά με τα ευρήματα που περιγράφονται», αν και η εταιρεία δήλωσε ότι διερευνά το περιστατικό.
