AI platforme za brzu izradu web stranica prepune su ranjivosti: Razvojni timovi prebacuju krivnju na korisnike

· Sanja Ledinek

AI platforme za brzu izradu web stranica prepune su ranjivost

Platforme poput Lovablea, Base44, Replita i Netlifyja omogućuju korisnicima izradu i objavljivanje web stranica uz pomoć umjetne inteligencije u svega nekoliko sekundi. Međutim, nova istraživanja pokazuju da su tisuće takvih stranica postale „rudnici” povjerljivih podataka, piše Wired pozivajući se na izvješće tvrtke za kibernetičku sigurnost RedAccess.

Stručnjaci su analizirali nekoliko tisuća AI-generiranih stranica i otkrili alarmantne propuste: više od 5.000 resursa nema nikakvu zaštitu, pa čak ni osnovne mehanizme autentifikacije. U mnogim je slučajevima bilo dovoljno znati samu adresu stranice kako bi se pristupilo pozadinskom softveru i podatkovnim datotekama. Na nekim platformama pristup povjerljivim podacima bio je omogućen nakon prijave bilo kojom e-mail adresom, bez ikakve provjere, dok je oko 40 % analiziranih izvora izravno izložilo osjetljive informacije.

Curenje podataka na dohvat ruke

Pronaći ove ranjive stranice bilo je iznimno jednostavno. Budući da Lovable, Replit, Base44 i Netlify često udomljuju stranice na vlastitim poddomenama, istraživačima je bilo dovoljno pretražiti Google i Bing koristeći jednostavne specifične upite. Rezultati su bili poražavajući. Među javno dostupnim podacima pronađeni su:

  • Medicinski podaci: Planovi rada u zdravstvenim ustanovama s osobnim podacima liječnika.
  • Poslovna dokumentacija: Evidencije o prodaji, prijevozu i detalji o kupnjama.
  • Privatna korespondencija: Razgovori prodavača s kupcima koji sadrže puna imena, adrese i kontakt podatke.
  • Administratorske ovlasti: U nekim slučajevima istraživači su bez ikakvog otpora preuzeli potpunu kontrolu nad stranicama.

Odgovornost platformi vs. nepažnja korisnika

Osim curenja podataka, platforma Lovable postala je utočište za brojne phishing resurse. Pronađene su lažne stranice dizajnirane u stilu giganata kao što su Bank of America, Costco, FedEx i McDonald’s. Odgovori platformi na ove nalaze bili su podijeljeni:

  • Netlify je odbio komentirati incident.
  • Replit i Base44 tvrde kako je objava podataka u javnoj domeni isključivo odluka korisnika te da se zaštita može podesiti u postavkama računa.
  • Lovable je izvijestio da provodi istragu o lažnim phishing resursima na svojoj platformi.

Tamna strana brze automatizacije

Stručnjaci iz RedAccessa kontaktirali su dio ugroženih korisnika. Mnogi su reagirali odmah, brišući stranice ili postavljajući lozinke, što sugerira da većina njih uopće nije bila svjesna koliko su njihovi podaci bili izloženi. Situacija bi mogla postati još kritičnija. Kako AI napreduje, on ne generira samo jednostavne web stranice, već i kompleksan kod za različite aplikacije. Bez ugrađenih sigurnosnih protokola (Security by Design), ovakvi automatizirani sustavi nastavit će masovno proizvoditi softver s ozbiljnim ranjivostima, dok će teret sigurnosti i dalje nepravedno padati isključivo na leđa krajnjeg korisnika.

DRUGE NOVOSTI