منصات AI لبناء التطبيقات نشرت آلاف التطبيقات مع تسريبات بيانات

Q: Источник материала?

Оригинальная публикация на Wired. Hamidun News обрабатывает и адаптирует материалы с помощью AI.

Q: Когда опубликовано?

2026-05-16. Время чтения: 3 мин.

تتيح منصات مثل Lovable وBase44 وReplit وNetlify لأي شخص إنشاء تطبيقات ويب من دون كود خلال ثوانٍ. لكن تحليلًا دقيقًا أظهر أن المطورين كثيرًا ما ينسون إزالة بيانا

ЖХ

Редакция Hamidun News

AI‑мониторинг · Wired

2026-05-16· 3 мин

منصات AI لبناء التطبيقات نشرت آلاف التطبيقات مع تسريبات بيانات — المصدر: Wired. Коллаж: Hamidun News.

◐ Слушать статью

منصات مثل Lovable و Base44 و Replit و Netlify تستخدم الذكاء الاصطناعي للسماح لأي شخص، حتى بدون مهارات البرمجة، بإنشاء تطبيقات ويب كاملة الوظائف في ثوان معدودة. لكن باحثي Wired اكتشفوا شرخاً في هذه الطوبى: آلاف التطبيقات التي تحتوي على بيانات حساسة حرجة معرّضة على الإنترنت — مفاتيح API وكلمات مرور ورموز التفويض. ولا أحد يفعل شيئاً حيال ذلك.

كيفية عمل منشئات الذكاء الاصطناعي

الخدمات مثل Lovable و Base44 مبنية على نماذج لغة كبيرة مثل GPT-4. يقوم المطور ببساطة بوصف ما يحتاجه: "اصنع لي تطبيقاً لتتبع النفقات مع تكامل Stripe". في غضون ثوان، يولد النظام مكون React كامل أو تطبيق Vue مع الواجهة الأمامية والمنطق. يمكن بعد ذلك نشر المشروع مباشرة عبر Netlify بضغطة زر أو استضافته على Replit. هذا ثوري من حيث سرعة التطوير. عادة يتطلب MVP أسابيع أو أشهراً من العمل. هنا — ساعات، أحياناً دقائق. ليس من المستغرب أن مئات الآلاف من المطورين بدأوا باستخدام هذه الخدمات.

نطاق المشكلة

قررت Wired التحقق من الوصول المفتوح. حلل الباحثون آلاف التطبيقات التي أنشئت على هذه المنصات ونُشرت على الإنترنت المفتوح. كانت النتيجة مثيرة للقلق: جزء كبير كان يحتوي على مفاتيح API وكلمات مرور قاعدة البيانات وبيانات حساسة أخرى. هذه ليست حالات معزولة من الإهمال. هذه مشكلة نظامية: المنصات لا تملك آليات لمنع التسريبات. عندما يتم إنشاء الكود تلقائياً ونشره بضغطة زر، تختفي عملية مراجعة الأمان ببساطة.

أي البيانات تتسرب

مفاتيح API لخدمات الطرف الثالث — OpenAI و Stripe و AWS و Google Cloud و Twilio. كلها موجودة في كود JavaScript على جانب العميل، متاح للتنزيل لأي شخص.
كلمات مرور قواعد البيانات — بيانات اعتماد MongoDB و PostgreSQL و MySQL غالباً غير مشفرة ومرئية في كود المصدر للتطبيق.
رموز التفويض وملفات تعريف الارتباط للجلسة — التي يمكن استخدامها لاعتراض حسابات الآخرين.
مفاتيح التشفير الخاصة — المستخدمة لحماية بيانات المستخدمين.
معرفات داخلية والعمارة — حتى لو كانت آمنة بشكل فردي، معاً تكشف هيكل التطبيق للهجمات.

عندما عثر الباحثون على هذه المفاتيح، تمكنوا من الوصول إلى حسابات المستخدمين والبيانات. علاوة على ذلك — بوتات تمسح الإنترنت باستمرار بحثاً عن مثل هذه التسريبات تجدها تلقائياً بالفعل.

لماذا يحدث هذا

السبب الرئيسي بسيط: سرعة التطوير لا تترك وقتاً للأمان. عندما يمكن إنشاء MVP في 10 دقائق، لا توجد مراجعة كود، لا فحص ثغرات أمنية، لا عملية معيارية. في المشاريع الكبيرة، كان سيتم اكتشاف هذا. السبب الثاني — المنصات نفسها لا تفعل شيئاً. لا تحذر المطور من أن مفتاح API تم العثور عليه في الكود. لا يوجد تنظيف تلقائي للبيانات الحساسة. لا اقتراح: "تأكد من حذف جميع كلمات المرور قبل النشر". فقط النشر — وهذا كل شيء. السبب الثالث — المطورون لم يتم تدريبهم. شخص لم يستطع البرمجة أمس ينشئ تطبيقاً بمنطق حقيقي اليوم. لم يشرح أحد له القواعد الأساسية للأمان.

ما يعنيه هذا

هذه حالة كلاسيكية من الديمقراطية التي لم تسر على ما يرام تماماً. الأدوات فعلاً تسمح لعدد أكبر من الناس بالإنشاء. لكن في الوقت نفسه، يتسع مجال الأخطاء. بالنسبة للشركات — إذا كنت تستخدم هذه المنصات لتطبيقات الإنتاج، فإن إنشاء الكود وحده ليس كافياً. تأكد من فحص التسريبات يدوياً قبل النشر. ابحث عن مفاتيح API في المصدر وكلمات المرور في التكوينات والبيانات الخاصة في السجلات. بالنسبة للمنصات نفسها — هذه لحظة حرجة. تحتاج إلى فحوصات أمان مدمجة وتحذيرات عند اكتشاف مفاتيح، وربما حتى رفض النشر. وإلا ستعاني السمعة.

ЖХ

Hamidun News

AI‑новости без шума. Ежедневный редакторский отбор из 400+ источников. Продукт Жемала Хамидуна, Head of AI в Alpina Digital.

Telegram-канал RSS hamidun.com