Teknologi

En skanning av 380 000 AI-bygde apper fant tusenvis uten noen form for autentisering

En skanning av 380 000 AI-bygde apper fant tusenvis uten noen form for autentisering
Susan Hill
8. mai 2026, kfredag. 18.46

Pitchen fra vibe-coding har siden 2023 vært den samme — hvem som helst kan bygge en app. En ny skanning fra RedAccess leverer den første konkrete kvitteringen. Av rundt 380 000 webapplikasjoner bygget med AI-baserte kodeverktøy og driftssatt via tjenester som Netlify, hadde omtrent 5 000 ingen autentisering i det hele tatt. Rundt 40 prosent av disse ubeskyttede appene oppbevarte sensitive data — brukeropplysninger, samtalelogger, betalingsdata, interne tilgangsdetaljer. Tallene landet denne uken hos WIRED, Axios og Security Boulevard, og beskriver en feilkategori bransjen i stillhet har bygget opp gjennom to år.

De navngitte generatorene er plattformene enhver ikke-utvikler allerede kjenner. Lovable, Replit, Base44 og det bredere økosystemet av «bygg-fra-en-prompt»-verktøy har solgt det samme stille løftet fra start — AI erstatter ikke bare det å skrive koden, den erstatter også ingeniøren som burde stå i loopen. Du velger en prompt, ser appen ta form, sender den i produksjon via Netlify eller Vercel, deler lenken. Det skanningen fra RedAccess dokumenterer er det som stille har gått i drift uten at noen i den loopen spurte om appen trengte en lås.

Sårbarhetene er ikke subtile. De ubeskyttede appene krevde ikke en dyktig angriper — de krevde en nettleser. Mange ble rullet ut med Supabase- eller Firebase-nøkler bakt rett inn i klientbundle, noe som betyr at enhver interessert kan lese databasen. Noen ga skrivetilgang til den samme databasen, så en fremmed kan redigere brukernes data. Et par eksponerte administrasjons-endepunkter. Feilkategorien er hverken en zero-day eller et dårlig konfigurert grensetilfelle. Det er sikkerhetslagets totale fravær.

ChatGPT bor nå inne i Excel og Google Sheets og redigerer formlene dine mens du ser på

Skepsis hører til her, for fristelsen til å skylde på verktøyene er stor og bare delvis riktig. En juniorutvikler som bygger den samme appen fra grunnen av uten tilsyn ville levere noe tilsvarende. Forskjellen er volumet. Vibe-coding-verktøyene senker terskelen nok til at det samlede antallet apper som driftssettes av folk uten evne til å resonnere selvstendig om autentisering har eksplodert. Verktøyene kan teknisk tilby et auth-stillas, men standardflyten håndhever det ikke, og brukerne som får mest ut av disse verktøyene er nettopp de som er dårligst utstyrt til å merke at det mangler. Lovable sier de jobber med å aktivere auth-stillas som standard. Replit peker på sine eksisterende sikkerhetsinnstillinger og erkjenner at brukere kan slå dem av. Base44 har ikke kommentert offentlig. Plattformene reagerer — spørsmålet er om reaksjonen beveger seg raskere enn utrullingskurven.

Den strukturelle lesingen er tyngre å svelge. I to år har bransjen solgt fjerningen av profesjonell gjennomgang fra utrullingspipelinen som en fordel, ikke en kostnad. RedAccess-tallene viser hvordan den fjerningen ser ut i skala. Appene fungerer for brukeren som bygget dem, og de fungerer også for enhver som finner URL-en. De neste to årene vil trolig være en langsom oppsamling av slike hendelser, helt til plattformene krever autentisering på rammeverknivå som standard, eller til tilsynsmyndigheter tvinger dem til det. Begge deler kan skje. EUs produktansvarsregime leses allerede på nytt for å dekke AI-generert programvare, og statlige attorney generals i USA har begynt å sirkle rundt temaet.

Det brukere av disse plattformene kan gjøre i dag er smalt. RedAccess har publisert veiledere for de fire navngitte verktøyene — sjekk at appen krever innlogging før noen dataaksess, gå gjennom nøklene som sendes med i klientbundle, og gå ut fra at enhver URL du har delt allerede blir skannet av noen. Plattformene har lovet forbedringer. Skanningen som produserte denne historien tok noen få dager. Den neste planlegges allerede.

Mer som dette

Instagram tester en ‘AI-skaper’-merkelapp og overlater valget til skaperne

Instagram tester en ‘AI-skaper’-merkelapp og overlater valget til skaperne

Googles Fitbit Air uten skjerm koster 99 dollar — og det er hele poenget

Googles Fitbit Air uten skjerm koster 99 dollar — og det er hele poenget

Oppo Find X9 Ultra får 10x optisk zoom og en avtakbar 300 mm-linse

Oppo Find X9 Ultra får 10x optisk zoom og en avtakbar 300 mm-linse

Farvel til silisium: Kina avslører ‘LightGen’ – lysprosessoren som utfordrer Nvidia og bryter varmemuren

Farvel til silisium: Kina avslører ‘LightGen’ – lysprosessoren som utfordrer Nvidia og bryter varmemuren

Suncatcher-gambiten: Innsikt i Googles plan for å erobre KI-fremtiden

Suncatcher-gambiten: Innsikt i Googles plan for å erobre KI-fremtiden

Shors algoritme: ressursbehovet for å knekke RSA-2048 falt en størrelsesorden på under ett år

Shors algoritme: ressursbehovet for å knekke RSA-2048 falt en størrelsesorden på under ett år

Diskusjon

Det er 0 kommentarer.