AI-конструкторы приложений выложили тысячи приложений с утечками данных

Платформы вроде Lovable, Base44, Replit и Netlify используют ИИ, чтобы позволить любому, даже без навыков программирования, создавать полнофункциональные веб-приложения за несколько секунд. Но исследователи Wired обнаружили трещину в этой утопии: в открытом доступе в интернете лежат тысячи приложений, содержащих критичные конфиденциальные данные — API-ключи, пароли, токены авторизации. И никто ничего с этим не делает.

Как работают AI конструкторы

Сервисы вроде Lovable и Base44 построены на больших языковых моделях типа GPT-4. Разработчик просто описывает, что ему нужно: «Сделай приложение для отслеживания расходов с интеграцией Stripe». За несколько секунд система генерирует полный React-компонент или Vue-приложение с фронтендом и логикой. Затем проект можно сразу опубликовать через Netlify одной кнопкой или хостить на Replit. Это революционно для скорости разработки. Обычно MVP требует недель или месяцев работы. Здесь — часы, а иногда минуты. Неудивительно, что сотни тысяч разработчиков начали пользоваться этими сервисами.

Масштаб проблемы Wired решил проверить, что попадает в открытый доступ.

Исследователи проанализировали тысячи приложений, созданных на этих платформах и опубликованных в открытый интернет. Результат был ужасающим: значительная часть содержала API-ключи, пароли баз данных и другие конфиденциальные данные. Это не единичные случаи невнимательности. Это системная проблема: платформы не имеют механизмов для предотвращения утечек. Когда код генерируется автоматически и публикуется одной кнопкой, процесс security review просто исчезает.

Какие данные утекают * **API-ключи сторонних сервисов** — OpenAI, Stripe, AWS, Google Cloud, Twilio.

Все они находятся в клиентском JavaScript-коде, доступном для скачивания любому. Пароли к базам данных — учётные данные для MongoDB, PostgreSQL, MySQL зачастую не захеширвованы и видны как в исходнике приложения. Токены авторизации и сессионные куки — с помощью которых можно перехватить чужие аккаунты. Приватные шифровальные ключи — использующиеся для защиты данных пользователей. Внутренние ID и архитектура — даже если отдельно безопасны, вместе раскрывают структуру приложения для атак. Когда исследователи нашли эти ключи, они смогли получить доступ к аккаунтам и данным пользователей. Более того — боты, которые постоянно сканируют интернет в поисках таких утечек, уже находят их автоматически.

Почему это происходит

Главная причина проста: скорость разработки не оставляет времени на безопасность. Когда MVP можно создать за 10 минут, нет ни code review, ни проверки на уязвимости, ни стандартного процесса. На больших проектах такое бы поймали. Вторая причина — сами платформы ничего не делают. Они не предупреждают разработчика, что в коде найден API-ключ. Нет автоматического скрубинга чувствительных данных. Нет подсказки: «Убедитесь, что удалили все пароли перед публикацией». Просто опубликовать — и всё. Третья причина — разработчики не обучены. Человек, который вчера не умел кодить, сегодня создаёт приложение с реальной логикой. Никто не объяснил ему базовые правила безопасности.

Что это значит Это классический случай демократизации, которая пошла не совсем правильно.

Инструменты действительно позволяют большему числу людей создавать. Но при этом расширяется и поле для ошибок. Для бизнеса — если вы используете эти платформы для production-приложений, просто создав код, недостаточно. Обязательно проверьте его вручную на утечки перед публикацией. Ищите API-ключи в исходнике, пароли в конфигах, приватные данные в логах. Для самих платформ — это критичный момент. Им нужны встроенные проверки безопасности, предупреждения при обнаружении ключей, может быть, даже отказ в публикации. Иначе репутация будет страдать.