हजारों वाइब-कोडेड ऐप्स ओपन वेब पर कॉर्पोरेट और व्यक्तिगत डेटा को उजागर करते हैं
जैसे-जैसे एआई तेजी से बढ़ रहा है आधुनिक प्रोग्रामर का काम अपने हाथ में लेने के बाद, साइबर सुरक्षा जगत ने चेतावनी दी है कि स्वचालित कोडिंग उपकरण निश्चित रूप से सॉफ़्टवेयर में हैक करने योग्य बगों की एक नई श्रृंखला पेश करेंगे। हालाँकि, जब वही वाइब-कोडिंग टूल किसी को भी एक क्लिक के साथ वेब पर होस्ट किए गए एप्लिकेशन बनाने के लिए आमंत्रित करते हैं, तो यह पता चलता है कि सुरक्षा संबंधी निहितार्थ बग से आगे निकल जाते हैं और पूरी तरह से गायब हो जाते हैं। कोई सुरक्षा-यहाँ तक कि, कभी-कभी, अत्यधिक संवेदनशील कॉर्पोरेट और व्यक्तिगत डेटा के लिए भी।
सुरक्षा शोधकर्ता डोर ज़वी और उनकी साइबर सुरक्षा कंपनी रेडएक्सेस की टीम ने एआई सॉफ्टवेयर डेवलपमेंट टूल्स लवेबल, रेप्लिट, बेस44 और नेटलिफ़ाई का उपयोग करके बनाए गए हजारों वाइब-कोडेड वेब एप्लिकेशन का विश्लेषण किया और उनमें से 5,000 से अधिक को पाया जिनके पास वस्तुतः कोई सुरक्षा या किसी भी प्रकार का प्रमाणीकरण नहीं था। इनमें से कई वेब ऐप्स किसी भी व्यक्ति को ऐप्स और उनके डेटा तक पहुंचने की अनुमति देते हैं जो केवल उनका वेब यूआरएल ढूंढता है। दूसरों के पास उस पहुंच में केवल मामूली बाधाएं थीं, जैसे कि विज़िटर को किसी भी ईमेल पते से साइन इन करना आवश्यक था। ज़वी का कहना है कि लगभग 40 प्रतिशत ऐप्स ने संवेदनशील डेटा उजागर किया, जिसमें चिकित्सा जानकारी, वित्तीय डेटा, कॉर्पोरेट प्रस्तुतियाँ और रणनीति दस्तावेज़, साथ ही चैटबॉट्स के साथ ग्राहक बातचीत के विस्तृत लॉग शामिल हैं।
ज़वी कहते हैं, “अंतिम परिणाम यह है कि संगठन वास्तव में वाइब-कोडिंग अनुप्रयोगों के माध्यम से निजी डेटा लीक कर रहे हैं।” “यह अब तक की सबसे बड़ी घटनाओं में से एक है जहां लोग कॉर्पोरेट या अन्य संवेदनशील जानकारी दुनिया में किसी के सामने उजागर कर रहे हैं।”
ज़वी का कहना है कि RedAccess द्वारा कमजोर वेब ऐप्स की खोज करना आश्चर्यजनक रूप से आसान था। लवेबल, रिप्लिट, बेस44, और नेटलिफ़ाइ सभी उपयोगकर्ताओं को अपने वेब ऐप्स को उपयोगकर्ताओं के बजाय उन एआई कंपनियों के स्वयं के डोमेन पर होस्ट करने की अनुमति देते हैं। इसलिए शोधकर्ताओं ने उन एआई कंपनियों के डोमेन के लिए सीधे Google और बिंग खोजों का उपयोग किया, जिन्हें अन्य खोज शब्दों के साथ जोड़कर उन हजारों ऐप्स की पहचान की गई, जिन्हें कंपनियों के टूल के साथ वाइब कोड किया गया था।
ज़वी का कहना है कि 5,000 एआई-कोडित ऐप्स में से किसी भी व्यक्ति के लिए सार्वजनिक रूप से पहुंच योग्य छोड़ दिया गया था, जिन्होंने ब्राउज़र में अपने यूआरएल टाइप किए थे, उन्हें लगभग 2,000 मिले, जो बारीकी से निरीक्षण करने पर, निजी डेटा प्रकट करते प्रतीत होते थे: उन्होंने WIRED के साथ साझा किए गए वेब ऐप्स के स्क्रीनशॉट – जिनमें से कई WIRED द्वारा सत्यापित थे, अभी भी ऑनलाइन थे और उजागर थे – जो डॉक्टरों की व्यक्तिगत रूप से पहचान योग्य जानकारी के साथ एक अस्पताल के कार्य असाइनमेंट, एक कंपनी की विस्तृत विज्ञापन खरीदारी के रूप में दिखाई देते थे। जानकारी, जो किसी अन्य फर्म की बाजार-टू-मार्केट रणनीति प्रस्तुति प्रतीत होती है, एक खुदरा विक्रेता के ग्राहकों के साथ उसके चैटबॉट की बातचीत के पूर्ण लॉग, जिसमें ग्राहकों के पूर्ण नाम और संपर्क जानकारी, एक शिपिंग फर्म के कार्गो रिकॉर्ड, और कई अन्य कंपनियों के मिश्रित बिक्री और वित्तीय रिकॉर्ड शामिल हैं। कुछ मामलों में, ज़वी कहते हैं, उन्होंने पाया कि उजागर ऐप्स ने उन्हें सिस्टम पर प्रशासनिक विशेषाधिकार प्राप्त करने और यहां तक कि अन्य प्रशासकों को हटाने की अनुमति दी होगी।
लवेबल के मामले में, ज़वी का कहना है कि उन्हें फ़िशिंग साइटों के कई उदाहरण भी मिले, जो बैंक ऑफ अमेरिका, कॉस्टको, फेडएक्स, ट्रेडर जो और मैकडॉनल्ड्स सहित प्रमुख निगमों का प्रतिरूपण करते थे, जो एआई कोडिंग टूल के साथ बनाए गए थे और लवेबल के डोमेन पर होस्ट किए गए थे।
हजारों वाइब-कोडेड ऐप्स ओपन वेब पर कॉर्पोरेट और व्यक्तिगत डेटा को उजागर करते हैं
जब WIRED ने चार AI कोडिंग कंपनियों से RedAccess के निष्कर्षों के बारे में पूछा, तो Netlify ने कोई जवाब नहीं दिया, लेकिन तीन अन्य कंपनियों ने शोधकर्ताओं के दावों को खारिज कर दिया और विरोध किया कि उन्होंने अपने निष्कर्षों को पर्याप्त रूप से साझा नहीं किया है या उन्हें प्रतिक्रिया देने के लिए पर्याप्त समय प्रदान नहीं किया है। (RedAccess का कहना है कि उसने सोमवार को कंपनियों से संपर्क किया।) लेकिन उन्होंने इस बात से इनकार नहीं किया कि RedAccess को मिले वेब ऐप्स उजागर हो गए थे।
“उनके द्वारा साझा की गई सीमित जानकारी से, (रेडएक्सेस का) मुख्य दावा यह प्रतीत होता है कि कुछ उपयोगकर्ताओं ने खुले वेब पर ऐप्स प्रकाशित किए हैं जो निजी होने चाहिए थे,” रेप्लिट के सीईओ अमजद मसाद ने एक्स पर एक प्रतिक्रिया पोस्ट में लिखा। “रेप्लिट उपयोगकर्ताओं को यह चुनने की अनुमति देता है कि ऐप्स सार्वजनिक हैं या निजी। सार्वजनिक ऐप्स का इंटरनेट पर पहुंच होना अपेक्षित व्यवहार है। गोपनीयता सेटिंग्स को किसी भी समय एक क्लिक से बदला जा सकता है।”
