AIコーディングツールで作成された数千のアプリが機密データを公開
原題: Thousands of Vibe-Coded Apps Expose Corporate and Personal Data on the Open Web
なぜ重要か
AIツールの普及により誰でも簡単にアプリ開発できる一方、セキュリティ対策の不備が大規模なデータ漏洩リスクを生んでいることを示している。
サイバーセキュリティ企業RedAccessが調査した結果、Lovable、Replit、Base44、Netlifyなどのこのようなツールで作成された5000以上のウェブアプリが認証なしで公開され、約40%が医療情報、財務データ、企業戦略文書などの機密情報を露出していることが判明した。
セキュリティ研究者Dor Zviと彼が共同設立したサイバーセキュリティ企業RedAccessのチームが、AI開発ツールLovable、Replit、Base44、Netlifyを使って作成された数千のウェブアプリを分析した。その結果、5000以上のアプリがセキュリティや認証機能をほとんど持たず、URLを知るだけで誰でもアクセスできる状態であることが発見された。これらのアプリの約40%が機密データを露出しており、医療情報、財務データ、企業プレゼンテーション、戦略文書、チャットボットとの顧客会話ログなどが含まれていた。研究者らは、これらのAI企業のドメインでホストされているアプリをGoogleやBingの検索を通じて容易に発見できたと報告している。具体的には、病院の医師の個人識別情報を含む業務割り当て、企業の詳細な広告購入情報、小売業者のチャットボット会話ログ(顧客の氏名と連絡先を含む)、運送会社の貨物記録、各種企業の営業・財務記録などが露出していた。一部のケースでは、露出したアプリを通じてシステムの管理者権限を取得し、他の管理者を削除することも可能だったという。