수천 개의 Vibe-Coded 앱이 오픈 웹에서 기업 및 개인 데이터를 노출합니다

Source: Slashdot

Overview

보안 연구원 Dor Zvi와 그의 RedAccess 팀은 Lovable, Replit, Base44, Netlify와 같은 AI 개발 도구로 구축된 수천 개의 “vibe‑coded” 웹 애플리케이션을 분석했습니다. 조사 결과 5,000개가 넘는 앱이 의미 있는 보안이나 인증이 전혀 없어, URL을 알면 누구나 해당 앱과 데이터를 접근할 수 있음을 밝혀냈습니다.

Findings

• 앱의 약 **40 %**가 의료 기록, 재무 데이터, 기업 프레젠테이션, 전략 문서, 상세 챗봇 대화 로그 등 민감한 정보를 노출했습니다.
• 공개적으로 접근 가능한 AI‑코드 앱 5,000개 중 거의 2,000개가 자세히 살펴보면 개인 데이터를 드러냈습니다. WIRED가 보도한 예시에는 다음이 포함됩니다:
  • 의사의 개인 식별 정보를 포함한 병원의 업무 할당표.
  • 기업의 상세 광고 구매 데이터.
  • 회사의 시장 진입 전략 프레젠테이션.
  • 고객의 이름과 연락처가 포함된 소매업체의 전체 챗봇 로그.
  • 운송 회사의 화물 기록.
  • 여러 조직의 다양한 영업 및 재무 기록.
• 경우에 따라 노출된 앱을 이용해 관리 권한을 획득하거나 다른 관리자를 제거할 수 있었습니다.
• Lovable 플랫폼에서는 주요 기업(예: Bank of America, Costco, FedEx, Trader Joe’s, McDonald’s)을 사칭하는 다수의 피싱 사이트가 AI 코딩 도구로 생성된 뒤 Lovable 도메인에 호스팅된 것을 연구진이 확인했습니다.

Implications

“결과적으로 조직들은 vibe‑coding 애플리케이션을 통해 실제로 개인 데이터를 유출하고 있습니다.” 라고 Dor Zvi는 말했습니다. “이는 사람들이 기업 또는 기타 민감한 정보를 전 세계 누구에게든 노출시키는 가장 큰 사건 중 하나입니다.”

“귀사 직원이 언제든지 앱을 생성할 수 있으며, 이는 어떤 개발 사이클이나 보안 검토도 거치지 않습니다. 사람들은 아무에게도 물어보지 않고 바로 프로덕션에서 사용하기 시작합니다. 그리고 실제로 그렇게 하고 있습니다.”

Methodology

RedAccess는 AI 기업 도메인과 관련 검색어를 조합한 간단한 Google 및 Bing 검색을 사용해 취약한 앱을 찾아냈습니다. Lovable, Replit, Base44, Netlify가 사용자 앱을 자체 도메인에 호스팅하기 때문에, 연구진은 최소한의 노력으로 수천 개의 공개 접근 가능한 애플리케이션을 식별할 수 있었습니다.

Read the full Wired report for additional details.