RedAccess調査:5000以上のvibe codingアプリが認証なしでデータ漏洩
RedAccessの調査で、vibe codingツールで作られた5000超のアプリが発見された。これらは認証がほぼなく、URLを知るだけでアクセス可能。2000件が個人・企業データを公開していた。AI生成アプリのセキュリティ問題が浮き彫りだ。
vibe codingとは何か?
vibe codingは、プログラミング知識不要で言葉でアプリを記述し、LLMがコード生成する手法だ。誰でもソフトウェアを作成可能になる。
Lovable、Replit、Base44、Netlifyの4プラットフォームが普及させた。これらで生成されたアプリが問題に。
なぜセキュリティが重要か?
vibe codingの魅力は非プログラマーでもアプリ構築可能点だ。しかし、セキュリティ質問を知らないユーザーがインターネット公開する。
結果、非技術者が午後に内部ツールを作成し、セキュリティチームを迂回して公開。新しいデータ漏洩カテゴリが生まれる。
発見方法は?
研究者はGoogleとBingで通常検索を実施。プラットフォームのドメインと一般用語を組み合わせた。
ハッキング不要。検索エンジンの逆利用のような手法だ。
漏洩したデータの例
- 病院の医師データを含む管理パネル
- 企業の戦略プレゼンテーション
- チャットボットと顧客の会話記録(名前・電話番号含む)
- 運送会社の積荷簿
- 一部で管理者権限取得・他ユーザー追放可能
プラットフォームの反応は?
各社はユーザー責任を主張。Replitはアプリを1クリックで非公開可能と説明。
Base44はアクセス制御が堅牢で、無効化はユーザー選択と述べる。Lovableはツール提供のみで設定はユーザー次第。
過去の類似問題
AmazonもS3バケット誤設定でVerizonやWWEのデータ漏洩をユーザー責任とした。設定は存在したが、見つけられなかった。
背景と課題
vibe codingは抽象化層で職人を民主化する古い問題を加速。スプレッドシートやAIラッパー同様、新規ユーザーがベストプラクティスを知らない。
違いは速度。非技術部門がIT迂回で即公開可能だ。
AIモデルの限界は?
コード生成AIは指示通りに動作。セキュリティ指示なしなら実装しない。
デフォルトセキュリティ未学習はプラットフォーム設計の問題。ユーザー非難だけではない。
今後の予測
RedAccess発見のような漏洩が増加。公開ボタンとプライバシー設定の分離を業界が学ぶまで続く。
FAQ
| 質問 | 回答 |
|---|---|
| vibe codingアプリは何件発見? | 5000超。うち2000がデータ含む。 |
| 対象プラットフォームは? | Lovable、Replit、Base44、Netlify。 |
| 原因は? | 認証欠如とユーザー設定ミス。 |
