Love AI
New member
Báo cáo của WIRED và nhóm RedAccess cho thấy hàng nghìn ứng dụng do AI hỗ trợ được phát hành mà thiếu bảo mật, khiến dữ liệu nhạy cảm có thể bị lộ. Nhiều app do nhân viên không chuyên xây dựng, kết nối với dữ liệu thật và bỏ qua kiểm duyệt IT.
Một cuộc điều tra của WIRED cùng nhóm nghiên cứu RedAccess do Dor Zvi dẫn đầu đã phân tích hàng nghìn ứng dụng “vibe-coded” và phát hiện hơn 5.000 app có ít hoặc không có bảo mật, nghĩa là ai biết đúng URL gần như có thể truy cập. Một số chỉ có rào cản tối thiểu, cho phép đăng nhập bằng bất kỳ địa chỉ email nào.
Những app này thường được xây dựng trên nền tảng như Lovable, Replit, Base44 và Netlify, và phần lớn được tạo bởi người không phải kỹ sư phần mềm. Nhiều ứng dụng dường như chứa dữ liệu nhạy cảm: thông tin y tế, hồ sơ tài chính, bài thuyết trình nội bộ, tài liệu chiến lược và nhật ký trò chuyện với khách hàng.
Đội điều tra còn tìm thấy phân công công việc ở bệnh viện có thông tin cá nhân, dữ liệu mua quảng cáo, chiến lược trình bày thị trường, thông tin bán hàng và cả các cuộc trò chuyện với khách hàng kèm tên, số liên hệ. Một số app vẫn còn trực tuyến, dù WIRED không thể xác minh toàn bộ dữ liệu được xem có thật hay nhạy cảm đến mức nào.
Vấn đề gốc là công cụ lập trình bằng AI hạ thấp rào cản phát triển: nhân viên marketing, bộ phận vận hành hay nhà sáng lập có thể nhanh chóng tạo một công cụ nội bộ, kết nối với dữ liệu thật và vô tình để ứng dụng mở ra web mà không qua quy trình phê duyệt IT.
Nhà nghiên cứu so sánh tình trạng này với làn sóng bucket Amazon S3 bị cấu hình sai trước đây, nơi sai sót khiến dữ liệu nhạy cảm bị rò rỉ hàng loạt. Chuyên gia bảo mật Joel Margolis nhắc rằng công cụ AI chỉ làm đúng những gì người dùng yêu cầu; nếu người dùng không yêu cầu bảo mật rõ ràng, app có thể không an toàn theo mặc định.
Về phản hồi từ nền tảng, CEO Replit Amjad Masad thừa nhận một số người đã công khai ứng dụng lẽ ra nên để riêng tư và việc app công khai truy cập qua web là hành vi mong đợi. Lovable cho biết họ nghiêm túc xử lý báo cáo dữ liệu bị tiếp xúc và lừa đảo, đang điều tra. Công ty mẹ của Base44 là Wix khẳng định nền tảng cung cấp công cụ bảo mật và tính công khai phản ánh cấu hình do người dùng chọn chứ không phải lỗi nền tảng.
Bài học rõ ràng: tốc độ tạo app bằng AI mang theo đánh đổi thực sự. Từ việc thiếu giám sát đến lỗ hổng ẩn, các ứng dụng do AI xây dựng có thể trở thành nguồn rò rỉ dữ liệu nghiêm trọng nếu không được kiểm soát. Các tổ chức nên yêu cầu kiểm duyệt IT trước khi cho app nội bộ lên mạng, bật xác thực chặt chẽ và áp dụng nguyên tắc quyền truy cập tối thiểu.
Nguồn: Digitaltrends
Một cuộc điều tra của WIRED cùng nhóm nghiên cứu RedAccess do Dor Zvi dẫn đầu đã phân tích hàng nghìn ứng dụng “vibe-coded” và phát hiện hơn 5.000 app có ít hoặc không có bảo mật, nghĩa là ai biết đúng URL gần như có thể truy cập. Một số chỉ có rào cản tối thiểu, cho phép đăng nhập bằng bất kỳ địa chỉ email nào.
Những app này thường được xây dựng trên nền tảng như Lovable, Replit, Base44 và Netlify, và phần lớn được tạo bởi người không phải kỹ sư phần mềm. Nhiều ứng dụng dường như chứa dữ liệu nhạy cảm: thông tin y tế, hồ sơ tài chính, bài thuyết trình nội bộ, tài liệu chiến lược và nhật ký trò chuyện với khách hàng.
Đội điều tra còn tìm thấy phân công công việc ở bệnh viện có thông tin cá nhân, dữ liệu mua quảng cáo, chiến lược trình bày thị trường, thông tin bán hàng và cả các cuộc trò chuyện với khách hàng kèm tên, số liên hệ. Một số app vẫn còn trực tuyến, dù WIRED không thể xác minh toàn bộ dữ liệu được xem có thật hay nhạy cảm đến mức nào.
Vấn đề gốc là công cụ lập trình bằng AI hạ thấp rào cản phát triển: nhân viên marketing, bộ phận vận hành hay nhà sáng lập có thể nhanh chóng tạo một công cụ nội bộ, kết nối với dữ liệu thật và vô tình để ứng dụng mở ra web mà không qua quy trình phê duyệt IT.
Nhà nghiên cứu so sánh tình trạng này với làn sóng bucket Amazon S3 bị cấu hình sai trước đây, nơi sai sót khiến dữ liệu nhạy cảm bị rò rỉ hàng loạt. Chuyên gia bảo mật Joel Margolis nhắc rằng công cụ AI chỉ làm đúng những gì người dùng yêu cầu; nếu người dùng không yêu cầu bảo mật rõ ràng, app có thể không an toàn theo mặc định.
Về phản hồi từ nền tảng, CEO Replit Amjad Masad thừa nhận một số người đã công khai ứng dụng lẽ ra nên để riêng tư và việc app công khai truy cập qua web là hành vi mong đợi. Lovable cho biết họ nghiêm túc xử lý báo cáo dữ liệu bị tiếp xúc và lừa đảo, đang điều tra. Công ty mẹ của Base44 là Wix khẳng định nền tảng cung cấp công cụ bảo mật và tính công khai phản ánh cấu hình do người dùng chọn chứ không phải lỗi nền tảng.
Bài học rõ ràng: tốc độ tạo app bằng AI mang theo đánh đổi thực sự. Từ việc thiếu giám sát đến lỗ hổng ẩn, các ứng dụng do AI xây dựng có thể trở thành nguồn rò rỉ dữ liệu nghiêm trọng nếu không được kiểm soát. Các tổ chức nên yêu cầu kiểm duyệt IT trước khi cho app nội bộ lên mạng, bật xác thực chặt chẽ và áp dụng nguyên tắc quyền truy cập tối thiểu.
Nguồn: Digitaltrends
Bài viết liên quan
