隨著AI逐漸接管現代程式設計師的工作,資安界已警告自動化程式碼工具勢必會為軟體帶來大量可被駭客利用的漏洞。然而,當這些AI程式碼生成工具讓任何人都能一鍵在網路上建立應用程式時,其資安影響卻不僅止於程式錯誤,甚至可能導致完全沒有任何安全防護——有時連高度敏感的企業和個人資料也未能倖免。
資安研究員Dor Zvi及其共同創立的資安公司RedAccess團隊,分析了數千款使用Lovable、Replit、Base44和Netlify等AI軟體開發工具建立的AI程式碼生成網路應用程式。他們發現其中超過5,000款應用程式幾乎沒有任何安全防護或身份驗證。
許多這類網路應用程式只要知道其網址,任何人都能存取應用程式及其資料。另一些則只有微不足道的存取障礙,例如要求訪客使用任何電子郵件地址登入。Zvi表示,大約40%的應用程式洩露了敏感資料,包括醫療資訊、財務數據、企業簡報、策略文件,以及客戶與聊天機器人的詳細對話記錄。
Zvi表示:「最終結果是,組織實際上正透過AI程式碼生成應用程式洩露私人資料。這是史上最大規模的事件之一,人們將企業或其他敏感資訊暴露給全世界的任何人。」Zvi指出,RedAccess尋找易受攻擊的網路應用程式出乎意料地容易。Lovable、Replit、Base44和Netlify都允許使用者將其網路應用程式託管在這些AI公司自己的網域上,而非使用者自己的網域。
因此,研究人員利用Google和Bing搜尋這些AI公司的網域,並結合其他搜尋詞彙,成功識別出數千款使用這些公司工具所建立的AI程式碼生成應用程式。在Zvi表示的5,000款AI程式碼生成應用程式中,只要在瀏覽器中輸入網址即可公開存取,他發現近2,000款在仔細檢查後似乎洩露了私人資料:他與WIRED分享的網路應用程式截圖(其中一些經WIRED驗證仍線上且暴露中)顯示了疑似醫院的工作排程,包含醫生的個人身份資訊;一家公司的詳細廣告採購資訊;疑似另一家公司的市場進入策略簡報;一家零售商的聊天機器人與客戶的完整對話記錄,包括客戶的全名和聯絡資訊;一家航運公司的貨運記錄;以及來自多家其他公司的各種銷售和財務記錄。
Zvi表示,在某些情況下,他發現這些暴露的應用程式甚至可能讓他獲得系統的管理權限,甚至移除其他管理員。在Lovable的案例中,Zvi表示,他還發現了許多冒充大型企業的網路釣魚網站,包括Bank of America、Costco、FedEx、Trader Joe’s和McDonald’s,這些網站似乎也是使用AI程式碼生成工具建立並託管在Lovable的網域上。
當WIRED就RedAccess的發現詢問這四家AI程式碼生成公司時,Netlify沒有回應,但其他三家公司則反駁研究人員的說法,並抗議他們沒有分享足夠的發現或給予足夠的回應時間。(RedAccess表示他們已於週一聯繫這些公司。)但他們並未否認RedAccess發現的網路應用程式確實處於暴露狀態。
Replit執行長Amjad Masad在X上發文回應:「從他們分享的有限資訊來看,[RedAccess的]核心主張似乎是有些使用者在公開網路上發布了本應是私密的應用程式。Replit允許使用者選擇應用程式是公開還是私密。公開應用程式可在網際網路上存取是預期行為。
隱私設定可以隨時一鍵更改。」Lovable的發言人發表聲明回應:「Lovable認真看待資料外洩和網路釣魚網站的報告,我們正積極獲取所需資訊進行調查。我們將此視為持續進行中的事務。同時也值得注意的是,Lovable提供開發者安全建構的工具,但應用程式如何配置最終是建立者的責任。」
Base44母公司Wix的公關主管Blake Brodie在聲明中寫道:「Base44為使用者提供強大的工具來配置其應用程式的安全性,包括存取控制和可見性設定。」她補充說:「停用這些控制是故意的、直接的行為,任何使用者都可以做到。如果應用程式是公開可存取的,那反映的是使用者的配置選擇,而非平台漏洞。」
Brodie還指出:「偽造看似包含真實使用者資料的應用程式是輕而易舉的。在沒有提供給我們任何經過驗證的範例的情況下,我們無法評估這些主張的有效性。」RedAccess則反駁稱他們已向Base44提供了範例。Zvi指出,對於數十個暴露的網路應用程式,他們甚至聯繫了應用程式的明顯所有者,並獲得確認資料確實已外洩。
RedAccess也與WIRED分享了數個匿名通訊案例,顯示Base44使用者感謝研究人員提醒他們有暴露的網路應用程式,這些應用程式隨後被保護或下線。資安研究員Joel Margolis表示,驗證任何特定不安全的AI程式碼生成網路應用程式是否真的洩露了真實資料可能很棘手。
他與一位同事最近發現一個AI聊天玩具在一個幾乎沒有安全防護的網站上洩露了該玩具與兒童的50,000次對話。他表示,AI程式碼生成網路應用程式中的資料可能只是佔位符,或者該應用程式可能只是一個概念驗證。Wix的Brodie則認為,WIRED與Base44分享的兩個範例確實看起來像是測試網站或包含AI生成的資料。
對於WIRED審查的網路應用程式,我們無法確認其個人或企業資料是否如看起來那樣敏感或真實。儘管如此,Margolis表示,AI建構的網路應用程式洩露資料的問題非常真實。他說他經常遇到Zvi所列舉的這類資料外洩情況。「行銷團隊的某人想要建立一個網站。
他們不是工程師,可能幾乎沒有資安背景或知識,」Margolis說。他指出,AI程式碼生成工具「會照你要求它們做的去做。除非你要求它們安全地執行,否則它們不會特意去那樣做。」Zvi指出,RedAccess發現的5,000個暴露應用程式僅限於託管在AI程式碼生成工具自身網域上的那些,而可能還有數千個應用程式託管在使用者自己購買的網域上。
他將公司不安全的AI程式碼生成網路應用程式所導致的持續資料外洩浪潮,比作早年Amazon S3儲存桶安全設定所造成的資料暴露疫情。從Verizon到World Wrestling Entertainment等公司都曾因Amazon雲端儲存服務的錯誤配置而意外洩露大量敏感資料。
然而,資安業界許多人也部分歸咎於Amazon令人困惑的安全設定,導致許多客戶犯下相同的錯誤。Zvi表示,AI網路應用程式程式碼生成工具現在正引發一波資料外洩潮,這是使用者錯誤和缺乏防護措施的類似組合所造成的結果。他認為,比AI程式碼生成公司任何特定的安全失誤更根本的問題是,這些工具讓組織內的一類新使用者能夠建立應用程式——這些人通常缺乏資安意識,且在公司發布應用程式前用於審查的常規軟體開發流程之外。
Zvi說:「貴公司的任何人在任何時刻都可以生成一個應用程式,而且這沒有經過任何開發週期或任何安全檢查。人們可以不經詢問就開始在生產環境中使用它。而且他們確實這樣做了。」