# Aplicações Web Impulsionadas por IA: Um Pesadelo de Segurança? À medida que a IA continua a permear a programação moderna, surgiram preocupações sobre a introdução de bugs exploráveis por meio de ferramentas de codificação automatizadas. No entanto, uma investigação recente revela um problema mais alarmante: ferramentas de desenvolvimento de aplicações web com IA estão permitindo a criação de aplicações com virtualmente nenhuma segurança, potencialmente expondo dados corporativos e pessoais sensíveis. O pesquisador de segurança Dor Zvi e sua equipe na **RedAccess** analisaram milhares de aplicações web criadas usando ferramentas de desenvolvimento de software com IA como **Lovable**, **Replit**, **Base44** e **Netlify**. Suas descobertas são contundentes: mais de 5.000 desses aplicativos careciam de segurança básica ou autenticação. Muitos permitiam acesso irrestrito a qualquer pessoa que descobrisse o URL da web, enquanto outros tinham barreiras mínimas, como exigir login com qualquer endereço de e-mail. Um impressionante 40% desses aplicativos expôs dados sensíveis, incluindo registros médicos, informações financeiras, documentos de estratégia corporativa e logs de conversas de chatbot. "O resultado final é que as organizações estão vazando dados privados através de aplicações de 'vibe-coding'", diz Zvi. "Este é um dos maiores eventos já ocorridos em que as pessoas expõem informações corporativas ou outras informações sensíveis para qualquer pessoa no mundo." ## Descoberta Fácil de Vulnerabilidades A busca da **RedAccess** por aplicações web vulneráveis provou ser surpreendentemente direta. Como **Lovable**, **Replit**, **Base44** e **Netlify** permitem que os usuários hospedem aplicativos em seus domínios, os pesquisadores utilizaram pesquisas simples no Google e Bing, combinando os domínios das empresas de IA com palavras-chave relevantes para identificar milhares de aplicativos codificados por IA. Dos 5.000 aplicativos publicamente acessíveis codificados por IA, quase 2.000 revelaram dados privados após uma inspeção mais detalhada. Exemplos incluíam atribuições de trabalho hospitalar com informações de identificação pessoal, detalhes de compra de anúncios da empresa, apresentações de estratégia de lançamento no mercado, logs de conversas de chatbot de varejistas (incluindo nomes de clientes e detalhes de contato), registros de carga e vários registros de vendas e financeiros. Em alguns casos, os aplicativos expostos até concederam privilégios administrativos, permitindo que os pesquisadores potencialmente removessem outros administradores. O **Lovable** também hospedou inúmeros sites de phishing que se passavam por grandes corporações como **Bank of America**, **Costco**, **FedEx**, **Trader Joe’s** e **McDonald’s**, criados com a ferramenta de codificação por IA. ## Respostas e Contra-argumentos das Empresas Quando contatada pela WIRED, a **Netlify** não respondeu. **Replit**, **Lovable** e **Base44** contestaram as descobertas, citando a falta de informações compartilhadas e tempo insuficiente para responder. No entanto, eles não negaram a exposição dos aplicativos web. O CEO da **Replit**, Amjad Masad, declarou no X: "Com base nas informações limitadas que compartilharam, a principal alegação [da RedAccess] parece ser que alguns usuários publicaram aplicativos na web aberta que deveriam ser privados. A Replit permite que os usuários escolham se os aplicativos são públicos ou privados. A acessibilidade de aplicativos públicos na internet é um comportamento esperado. As configurações de privacidade podem ser alteradas a qualquer momento com um único clique." A **Lovable** declarou que leva a sério os relatórios de dados expostos e sites de phishing e está investigando ativamente. Eles enfatizaram que a **Lovable** fornece ferramentas para construir de forma segura, mas a configuração do aplicativo é responsabilidade do criador. Blake Brodie, chefe de relações públicas da empresa controladora da **Base44**, **Wix**, declarou que a **Base44** fornece ferramentas robustas para configurar a segurança de aplicações, incluindo controles de acesso e configurações de visibilidade. Desativar esses controles é uma ação deliberada do usuário, não uma vulnerabilidade da plataforma. A **Wix** também levantou preocupações sobre a validade dos dados, sugerindo que os dados expostos podem ser placeholders ou provas de conceito. A **RedAccess** refutou as alegações de que não havia fornecido exemplos à **Base44**, observando que contataram proprietários de aplicativos que confirmaram a exposição de dados. Eles também compartilharam comunicações anonimizadas de usuários da **Base44** agradecendo pelos alertas. ## As Implicações Mais Amplas Verificar a autenticidade dos dados expostos continua sendo um desafio. Joel Margolis, um pesquisador de segurança, observa que os dados em aplicativos web codificados por "vibe" podem ser placeholders ou provas de conceito. No entanto, ele afirma que o problema de aplicativos web criados por IA expondo dados é muito real. Ele enfatiza que equipes de marketing ou outros não engenheiros que criam sites frequentemente carecem do conhecimento de segurança necessário. Zvi destaca que os 5.000 aplicativos expostos são apenas aqueles hospedados nos domínios das ferramentas de codificação por IA, com potencialmente milhares mais hospedados em domínios comprados por usuários. Ele traça um paralelo com a onda de exposições de dados causadas por buckets de armazenamento **Amazon S3** mal configurados, onde empresas como **Verizon** e **World Wrestling Entertainment** expuseram acidentalmente dados sensíveis. Embora o erro do usuário tenha desempenhado um papel, muitos culparam a **Amazon** por configurações de segurança confusas. As ferramentas de codificação de aplicativos web com IA estão criando uma onda semelhante de exposições de dados devido a erros do usuário e à falta de salvaguardas. Mais fundamentalmente, essas ferramentas capacitam indivíduos com pouca consciência de segurança a criar aplicações fora dos processos típicos de desenvolvimento de software. "Qualquer pessoa da sua empresa a qualquer momento pode gerar um aplicativo, e isso não está passando por nenhum ciclo de desenvolvimento ou verificação de segurança", diz Zvi. "As pessoas podem simplesmente começar a usá-lo em produção sem pedir permissão a ninguém. E elas o fazem."