Созданные AI-платформами сайты содержат открытые конфиденциальные данные — исследование RedAccess
Платформы Lovable, Base44, Replit и Netlify позволяют создавать AI-сайты за считанные секунды. Но исследование RedAccess выявило масштабную проблему: на тысячах
Платформы для создания веб-сайтов с помощью ИИ — Lovable, Base44, Replit, Netlify — обещают каждому стать разработчиком за считанные секунды. Но анализ компании RedAccess, специалиста по кибербезопасности, выявил масштабную проблему: на тысячах развёрнутых сайтов в открытом доступе лежат пароли, API-ключи и другие конфиденциальные данные.
Масштаб утечек: тысячи сайтов скомпрометированы
Только на платформе Lovable размещено более 20 тысяч публичных сайтов. Когда исследователи RedAccess проанализировали значительную часть проектов, выявилась систематическая и серьёзная проблема: пользователи часто вносят в промпты конфиденциальную информацию, которая затем попадает в сгенерированный код. Они часто не осознают, что данные, оставленные в примерах, комментариях или даже случайно вставленные из буфера обмена, будут видны каждому, кто откроет исходный код сайта.
Проблема усугубляется тем, что платформы специально публикуют сайты через общедоступные URL, а исходный код часто доступен прямо в браузерном инструменте для просмотра исходника. RedAccess обнаружила в открытом доступе: Пароли и API-токены в исходном коде Ключи для облачных сервисов (AWS, Google Cloud, Azure) Email-адреса и номера мобильных сотрудников Ссылки на внутренние админ-панели и сервисы Дампы баз данных с личной информацией клиентов SSH-логины и пароли для удалённого доступа к серверам ## Платформы валят ответственность на пользователей Разработчики Lovable, Base44, Replit и Netlify занимают единую позицию: они предоставляют инструменты, а пользователи несут ответственность за контент, который те в эти инструменты вносят. С формальной точки зрения это справедливо — как и у производителя ножа нет ответственности за то, что ножом кого-то порезали.
Но эксперты по безопасности указывают на критическое различие: эти платформы явно разработаны и маркетируются для людей без опыта кодирования. Когда система ориентирована на новичков, которые по определению не знают, что такое API-ключ и почему его нельзя оставлять в коде, разработчик должен либо добавить очень яркое предупреждение, либо встроить автоматическое сканирование и блокировку на чувствительные данные перед публикацией.
«Платформы разработаны для людей, которые не знают основ информационной безопасности.
Когда система создана для них, создатель несёт ответственность за базовую защиту», — говорится в исследовании RedAccess.
Что это означает для индустрии AI-генераторы буквально меняют ландшафт
веб-разработки: они на несколько порядков дешевле и быстрее, чем наём опытного разработчика. Но они создают новую категорию проблем безопасности, которую старое поколение разработчиков просто не предусмотрело. Для компаний, использующих такие сервисы, совет простой: если вы используете Lovable, Replit или подобные платформы, проверяйте сгенерированный код перед публикацией в production. Никогда не передавайте ИИ-системам настоящие пароли, API-ключи или доступ к конфиденциальным данным. Используйте фиксированные значения-заглушки. Для самих платформ это окно возможности. Первая компания, которая добавит встроённое автоматическое сканирование кода на утечки данных и блокировку деплоя при обнаружении чувствительной информации, получит огромное конкурентное преимущество в виде доверия корпоративных и государственных клиентов. А RedAccess останется просто историей — о том, когда индустрия была ещё неосторожна.