იმის ფონზე, რომ AI სულ უფრო მეტად ითავსებს პროგრამისტების საქმეს, კიბერუსაფრთხოების ექსპერტები გვაფრთხილებენ: ავტომატიზებული კოდირების ხელსაწყოები პროგრამულ უზრუნველყოფაში ახალ, მარტივად გასატეხ ხარვეზებს შემოიტანს. თუმცა, როგორც ირკვევა, პრობლემა მხოლოდ ბაგებს არ ეხება. როდესაც ეს ხელსაწყოები ნებისმიერ ადამიანს აძლევს საშუალებას ერთი კლიკით შექმნას ვებგვერდი, უსაფრთხოება ხშირად საერთოდ არ არსებობს - არც მეტად სენსიტიური კორპორატიული ან პერსონალური მონაცემებისთვის.
კიბერუსაფრთხოების კომპანია RedAccess-ის თანადამფუძნებელმა, დორ ცვიმ და მისმა გუნდმა, Lovable-ის, Replit-ის, Base44-ისა და Netlify-ის გამოყენებით შექმნილი ათასობით აპლიკაცია შეისწავლეს. აღმოჩნდა, რომ 5,000-ზე მეტ მათგანს ფაქტობრივად არ გააჩნდა არანაირი ავთენტიფიკაცია. ბევრ ვებაპლიკაციაში შესვლა და მონაცემების ნახვა ნებისმიერს შეეძლო, ვინც უბრალოდ URL-ს იპოვიდა. ზოგიერთი კი წვდომისთვის მხოლოდ ნებისმიერი ელ.ფოსტით შესვლას ითხოვდა. ცვის თქმით, აპლიკაციების დაახლოებით 40% აჩენდა სენსიტიურ მონაცემებს, მათ შორის სამედიცინო ინფორმაციას, ფინანსურ მონაცემებს, კორპორატიულ პრეზენტაციებსა და ჩატბოტებთან მომხმარებლების საუბრების დეტალურ ლოგებს.
„საბოლოო ჯამში, ორგანიზაციები AI-ით დაწერილი აპლიკაციების მეშვეობით კერძო მონაცემებს კარგავენ,“ აღნიშნავს ცვი. მისი თქმით, ეს პროცესი საოცრად მარტივი იყო, რადგან ხსენებული AI კომპანიები მომხმარებლებს აპლიკაციების თავიანთ დომენებზე ჰოსტინგის საშუალებას აძლევენ. RedAccess-მა უბრალოდ Google-ისა და Bing-ის ძიებით იპოვა ათასობით დაუცველი აპლიკაცია.
5,000 ღია აპლიკაციიდან დაახლოებით 2,000-მა პირადი მონაცემები გამოაჩინა: საავადმყოფოს სამუშაო განრიგი ექიმების პირადი ინფორმაციით, კომპანიის სარეკლამო შესყიდვების დეტალები, გაყიდვებისა და ფინანსური ჩანაწერები და სხვა. ზოგიერთ შემთხვევაში, ღია აპლიკაციები სისტემებზე ადმინისტრატორის უფლებების მოპოვების საშუალებასაც იძლეოდა. გარდა ამისა, Lovable-ის დომენზე ნაპოვნი იქნა მრავალი ფიშინგ-საიტი, რომლებიც ისეთ კომპანიებს ბაძავდნენ, როგორიცაა Bank of America, Costco, FedEx და McDonald’s.
როდესაც კომპანიებს დაუკავშირდნენ, Netlify-მ კომენტარისგან თავი შეიკავა, დანარჩენებმა კი პასუხისმგებლობა მომხმარებლებს დააკისრეს. Replit-ის CEO-მ, ამჯად მასადმა აღნიშნა, რომ პლატფორმა იძლევა აპლიკაციის საჯაროდ ან პირადად შენახვის არჩევანს, და თუ ის საჯაროა, მისი ინტერნეტში ხელმისაწვდომობა მოსალოდნელია. მსგავსი პოზიცია დააფიქსირეს Lovable-მა და Base44-მაც და განაცხადეს, რომ ინსტრუმენტებს იძლევიან, თუმცა კონფიგურაცია მომხმარებლის პასუხისმგებლობაა.
მიუხედავად იმისა, რომ ზოგიერთი მონაცემი შეიძლება ტესტური იყოს, ექსპერტები თანხმდებიან - პრობლემა რეალურია. მარკეტინგის გუნდის წევრს, რომელსაც უსაფრთხოების გამოცდილება არ აქვს, ვებსაიტის შექმნა შეუძლია. AI აკეთებს იმას, რასაც სთხოვენ და თუ უსაფრთხოებას არ მოსთხოვთ, არც იზრუნებს მასზე.
ცვის თქმით, ეს ჰგავს Amazon S3-ის არასწორი კონფიგურაციის ეპიდემიას, როდესაც მსხვილმა კომპანიებმა მონაცემები დაკარგეს. თუმცა მთავარი პრობლემა ისაა, რომ AI ხელსაწყოები საშუალებას აძლევს ადამიანებს, შექმნან აპლიკაციები კომპანიის შიდა უსაფრთხოების სტანდარტებისა და დეველოპმენტის პროცესების გვერდის ავლით. „ნებისმიერს შეუძლია ნებისმიერ მომენტში შექმნას აპლიკაცია ყოველგვარი უსაფრთხოების შემოწმების გარეშე და დაიწყოს მისი გამოყენება,“ აცხადებს ცვი.
წყარო: wired.com
