Les outils de codage d’IA ont rendu ridiculement facile la création d’une application Web, et sa configuration ne prend plus que quelques minutes. Cette facilité a réduit les obstacles au développement d’applications, ce qui entraîne une nouvelle série de problèmes. Alors, que se passe-t-il lorsque ces applications créées par l’IA sont mises en ligne sans que personne ne vérifie les verrous ? Des secrets se répandent partout sur Internet.
Un rapport de WIRED met en évidence un problème de sécurité majeur autour des applications dites « codées par vibration », qui sont construites à l'aide de plates-formes de développement d'IA telles que Lovable, Replit, Base44 et Netlify.
Pourquoi c'est un problème plus important que vous ne le pensez
Le chercheur en sécurité Dor Zvi et son équipe chez RedAccess ont analysé des milliers de ces applications et en ont trouvé plus de 5 000 qui n'avaient que peu ou pas de sécurité ou d'authentification. La plupart de ces applications étaient pratiquement accessibles à toute personne trouvant la « bonne » URL. Quelques-uns d'entre eux n'avaient que des barrières minimes, permettant aux visiteurs de se connecter avec n'importe quelle adresse e-mail. Près de la moitié de ces applications exposées semblaient contenir des données sensibles telles que des informations médicales, des dossiers financiers, des présentations d'entreprise, des documents stratégiques et des journaux de chatbots clients, a déclaré Zvi.
L'enquête aurait également révélé des missions de travail dans des hôpitaux contenant des informations personnelles identifiables, des données d'achat de publicités, des stratégies de présentation du marché, des informations de vente et même des conversations avec des clients avec leurs noms et coordonnées. Plusieurs de ces applications étaient toujours en ligne, même si WIRED n'a pas pu vérifier si toutes les données examinées étaient réelles ou sensibles.
Comment le vibe coding est devenu dangereux en informatique
Cette histoire ne se limite pas à un seul lot d’applications d’IA bâclées. Ces outils permettent à des personnes qui n'ont pas d'expérience en génie logiciel ou en sécurité de créer et de publier rapidement des applications, qui s'effectuent souvent en dehors des processus d'approbation informatique normaux. Ainsi, un membre de l’équipe marketing, un responsable des opérations ou un fondateur peut créer un outil à usage interne, le connecter à des données réelles et le laisser accidentellement ouvert sur le Web.
Zvi l'a comparé à l'ancienne vague de compartiments Amazon S3 exposés, où des erreurs de configuration ont conduit les entreprises à divulguer des données sensibles à grande échelle. Le chercheur en sécurité Joel Margolis a déclaré à WIRED que les outils de codage de l'IA ne font que ce qu'on leur demande. Ainsi, si un utilisateur ne demande pas explicitement de sécurité, l’application peut ne pas être sécurisée par défaut.
Qu’ont dit les entreprises ?
Le PDG de Replit, Amjad Masad, a écrit sur X que certains utilisateurs avaient publié sur le Web ouvert des applications qui auraient dû être privées, ajoutant que le fait que les applications publiques soient accessibles en ligne est un comportement attendu. Pendant ce temps, Lovable a déclaré qu'il prenait au sérieux les données exposées et les rapports de phishing et qu'il enquêtait. La société mère de Base44, Wix, a déclaré que sa plate-forme fournit des contrôles de sécurité et de visibilité, arguant que l'accès public reflète les choix de configuration des utilisateurs plutôt qu'une vulnérabilité de la plate-forme.
Il s’agit d’une vérification de la réalité pour quiconque considère le codage d’ambiance comme une voie rapide vers le succès d’une startup. Les applications générées par l’IA peuvent évoluer rapidement, mais cette vitesse s’accompagne de réels compromis. Qu'il s'agisse d'une surveillance faible ou de vulnérabilités cachées, les applications créées par l'IA peuvent devenir un problème sérieux une fois qu'un produit est entre les mains des utilisateurs.
