V\u00e1rios aplicativos criados com ferramentas de vibe coding deixaram dados sens\u00edveis expostos na web. Pesquisadores analisaram apps gerados por Lovable, Replit, Base44 e Netlify e encontraram milhares sem qualquer mecanismo de seguran\u00e7a ou autentica\u00e7\u00e3o.<\/p>\n
A equipe de RedAccess, liderada pelo pesquisador Dor Zvi, verificou mais de 5 mil apps com acesso p\u00fablico. Quase 2 mil continham dados privados ao serem inspecionados, incluindo informa\u00e7\u00f5es m\u00e9dicas, financeiras, apresenta\u00e7\u00f5es corporativas e logs de conversas com chatbots.<\/p>\n
Esses apps costumam ser hospedados nos dom\u00ednios das pr\u00f3prias companhias de IA, n\u00e3o nos dom\u00ednios dos usu\u00e1rios. A varredura foi realizada com buscas simples nos sites das empresas, revelando grande parte dos apps vulner\u00e1veis.<\/p>\n
Os dados expostos, segundo a RedAccess, incluem conte\u00fados como ordens de hospital, informa\u00e7\u00f5es de compra de an\u00fancios, planos de go-to-market e logs completos de atendimento ao cliente. Em alguns casos, seria poss\u00edvel obter privil\u00e9gios administrativos.<\/p>\n
No caso da Lovable, foram encontrados sites de phishing que imitavam grandes empresas e eram hospedados no dom\u00ednio da pr\u00f3pria Lovable. A equipe relata que n\u00e3o houve confirma\u00e7\u00e3o formal de todos os exemplos apresentados.<\/p>\n
As quatro empresas foram questionadas sobre as descobertas. Netlify n\u00e3o respondeu; as outras tr\u00eas contestaram parte das informa\u00e7\u00f5es, alegando tempo insuficiente para resposta ou falta de acesso a exemplos. N\u00e3o negaram a exposi\u00e7\u00e3o.<\/p>\n
Segundo Amjad Masad, CEO da Replit, apps p\u00fablicos s\u00e3o esperados e mudan\u00e7as de privacidade podem ser feitas com um clique. Lovable afirmou que trabalha para investigar os casos e refor\u00e7ar a seguran\u00e7a, ressaltando que a configura\u00e7\u00e3o final \u00e9 responsabilidade do criador.<\/p>\n
Base44, controlada pela Wix, disse oferecer controles de seguran\u00e7a configur\u00e1veis e que desativar tais controles \u00e9 simples. A empresa tamb\u00e9m pediu evid\u00eancias verific\u00e1veis para avaliar os relatos. RedAccess afirma ter apresentado alguns exemplos \u00e0 Base44.<\/p>\n
Especialistas destacam que a veracidade de dados expostos ainda depende de confirma\u00e7\u00e3o. Em alguns casos, informa\u00e7\u00f5es podem ser dados fict\u00edcios ou tempor\u00e1rios utilizados para demonstra\u00e7\u00e3o. Mesmo assim, o problema de exposi\u00e7\u00e3o via apps gerados por IA \u00e9 considerado real.<\/p>\n
Para o pesquisador Joel Margolis, \u00e9 comum ver ferramentas de IA serem usadas por equipes de marketing sem expertise em seguran\u00e7a. Ele explica que os apps executam o que foi solicitado, e sem instru\u00e7\u00f5es claras de seguran\u00e7a, n\u00e3o priorizam prote\u00e7\u00f5es.<\/p>\n
Zvi ressalta que as 5 mil expositores est\u00e3o apenas nos dom\u00ednios das plataformas de IA; milhares de apps em dom\u00ednios pr\u00f3prios podem estar expostos. O caso lembra falhas hist\u00f3ricas de configura\u00e7\u00f5es de armazenamento em nuvem que criaram grandes vazamentos no passado.<\/p>\n","protected":false},"excerpt":{"rendered":"