- Pesquisadores analisaram milhares de apps criados com ferramentas de vibe-coding da Lovable, Replit, Base44 e Netlify e encontraram mais de cinco mil apps com pouca ou nenhuma segurança.
- Cerca de quarenta por cento dos apps expuseram dados sensíveis, como informações médicas, financeiras, apresentações corporativas e logs de conversas de chatbots.
- Muitos apps eram acessíveis a qualquer pessoa que tivesse o URL, enquanto outros tinham barreiras de acesso muito triviais, como exigir apenas login com e-mail.
- Em alguns casos, era possível obter privilégios administrativos ou remover outros administradores em sistemas ligados aos apps.
- As empresas negaram parte das acusações ou disseram que as configurações de privacidade são responsabilidade do usuário, mas não negaram a existência de apps expostos.
Vários aplicativos criados com ferramentas de vibe coding deixaram dados sensíveis expostos na web. Pesquisadores analisaram apps gerados por Lovable, Replit, Base44 e Netlify e encontraram milhares sem qualquer mecanismo de segurança ou autenticação.
A equipe de RedAccess, liderada pelo pesquisador Dor Zvi, verificou mais de 5 mil apps com acesso público. Quase 2 mil continham dados privados ao serem inspecionados, incluindo informações médicas, financeiras, apresentações corporativas e logs de conversas com chatbots.
Esses apps costumam ser hospedados nos domínios das próprias companhias de IA, não nos domínios dos usuários. A varredura foi realizada com buscas simples nos sites das empresas, revelando grande parte dos apps vulneráveis.
Os dados expostos, segundo a RedAccess, incluem conteúdos como ordens de hospital, informações de compra de anúncios, planos de go-to-market e logs completos de atendimento ao cliente. Em alguns casos, seria possível obter privilégios administrativos.
No caso da Lovable, foram encontrados sites de phishing que imitavam grandes empresas e eram hospedados no domínio da própria Lovable. A equipe relata que não houve confirmação formal de todos os exemplos apresentados.
As quatro empresas foram questionadas sobre as descobertas. Netlify não respondeu; as outras três contestaram parte das informações, alegando tempo insuficiente para resposta ou falta de acesso a exemplos. Não negaram a exposição.
Segundo Amjad Masad, CEO da Replit, apps públicos são esperados e mudanças de privacidade podem ser feitas com um clique. Lovable afirmou que trabalha para investigar os casos e reforçar a segurança, ressaltando que a configuração final é responsabilidade do criador.
Base44, controlada pela Wix, disse oferecer controles de segurança configuráveis e que desativar tais controles é simples. A empresa também pediu evidências verificáveis para avaliar os relatos. RedAccess afirma ter apresentado alguns exemplos à Base44.
Especialistas destacam que a veracidade de dados expostos ainda depende de confirmação. Em alguns casos, informações podem ser dados fictícios ou temporários utilizados para demonstração. Mesmo assim, o problema de exposição via apps gerados por IA é considerado real.
Para o pesquisador Joel Margolis, é comum ver ferramentas de IA serem usadas por equipes de marketing sem expertise em segurança. Ele explica que os apps executam o que foi solicitado, e sem instruções claras de segurança, não priorizam proteções.
Zvi ressalta que as 5 mil expositores estão apenas nos domínios das plataformas de IA; milhares de apps em domínios próprios podem estar expostos. O caso lembra falhas históricas de configurações de armazenamento em nuvem que criaram grandes vazamentos no passado.
Entre na conversa da comunidade