كما منظمة العفو الدولية على نحو متزايد مع تولي أعمال المبرمجين المعاصرين، حذر عالم الأمن السيبراني من أن أدوات التشفير الآلية ستقدم بالتأكيد مجموعة جديدة من الأخطاء القابلة للاختراق في البرامج. عندما تدعو أدوات التشفير هذه أي شخص لإنشاء تطبيقات مستضافة على الويب بنقرة واحدة، يتبين أن التداعيات الأمنية تتجاوز الأخطاء إلى الغياب التام لـ أي الأمان – حتى في بعض الأحيان بالنسبة لبيانات الشركات والبيانات الشخصية شديدة الحساسية.
قام الباحث الأمني دور تسفي وفريقه في شركة الأمن السيبراني التي شارك في تأسيسها، RedAccess، بتحليل الآلاف من تطبيقات الويب المشفرة التي تم إنشاؤها باستخدام أدوات تطوير برامج الذكاء الاصطناعي Lovable، وReplit، وBase44، وNetlify، ووجدوا أكثر من 5000 منها لا تحتوي فعليًا على أي أمان أو مصادقة من أي نوع. تسمح العديد من تطبيقات الويب هذه لأي شخص يعثر فقط على عنوان URL الخاص بالويب بالوصول إلى التطبيقات وبياناتها. ولم يكن لدى الآخرين سوى عوائق تافهة أمام هذا الوصول، مثل مطالبة الزائر بتسجيل الدخول باستخدام أي عنوان بريد إلكتروني. يقول زفي إن حوالي 40% من التطبيقات كشفت عن بيانات حساسة، بما في ذلك المعلومات الطبية والبيانات المالية والعروض التقديمية للشركات والمستندات الإستراتيجية، بالإضافة إلى السجلات التفصيلية لمحادثات العملاء مع برامج الدردشة الآلية.
يقول تسفي: “النتيجة النهائية هي أن المؤسسات تقوم فعليًا بتسريب البيانات الخاصة من خلال تطبيقات الترميز الحيوي”. “هذا أحد أكبر الأحداث على الإطلاق حيث يكشف الأشخاص عن معلومات خاصة بالشركة أو غيرها من المعلومات الحساسة لأي شخص في العالم.”
يقول Zvi إن بحث RedAccess عن تطبيقات الويب الضعيفة كان سهلاً بشكل مدهش. تسمح كل من Lovable وReplit وBase44 وNetlify للمستخدمين باستضافة تطبيقات الويب الخاصة بهم على النطاقات الخاصة بشركات الذكاء الاصطناعي تلك، بدلاً من النطاقات الخاصة بالمستخدمين. لذلك استخدم الباحثون عمليات بحث مباشرة على Google وBing عن نطاقات شركات الذكاء الاصطناعي هذه بالإضافة إلى مصطلحات بحث أخرى لتحديد آلاف التطبيقات التي تم ترميزها باستخدام أدوات الشركات.
من بين 5000 تطبيق مشفر بالذكاء الاصطناعي يقول تسفي إنها تُركت متاحة للعامة لأي شخص يكتب ببساطة عناوين URL الخاصة به في المتصفح، وجد ما يقرب من 2000 تطبيق، عند الفحص الدقيق، يبدو أنها تكشف عن بيانات خاصة: لقطات شاشة لتطبيقات الويب التي شاركها مع WIRED – والتي تحققت WIRED من العديد منها لا تزال متصلة بالإنترنت ومكشوفة – أظهرت ما يبدو أنه مهام عمل في المستشفى مع معلومات التعريف الشخصية للأطباء، وشراء الإعلانات التفصيلية للشركة المعلومات، ما يبدو أنه عرض تقديمي لاستراتيجية الذهاب إلى السوق لشركة أخرى، والسجلات الكاملة لمتاجر التجزئة لمحادثات chatbot الخاصة بها مع العملاء، بما في ذلك الأسماء الكاملة للعملاء ومعلومات الاتصال، وسجلات الشحن الخاصة بشركة الشحن، والمبيعات المتنوعة والسجلات المالية من مجموعة متنوعة من الشركات الأخرى. يقول زفي إنه في بعض الحالات، وجد أن التطبيقات المكشوفة كانت ستسمح له بالحصول على امتيازات إدارية على الأنظمة وحتى إزالة المسؤولين الآخرين.
في حالة Lovable، يقول تسفي إنه وجد أيضًا العديد من الأمثلة على مواقع التصيد الاحتيالي التي تنتحل هوية الشركات الكبرى، بما في ذلك Bank of America وCostco وFedEx وTrader Joe’s وMcDonald’s، والتي يبدو أنها تم إنشاؤها باستخدام أداة ترميز الذكاء الاصطناعي واستضافتها على نطاق Lovable.
عندما سألت WIRED شركات ترميز الذكاء الاصطناعي الأربع عن نتائج RedAccess، لم تستجب Netlify، لكن الشركات الثلاث الأخرى تراجعت عن ادعاءات الباحثين واحتجت على أنها لم تشارك ما يكفي من النتائج التي توصلوا إليها أو توفر لهم الوقت الكافي للرد. (تقول RedAccess إنها تواصلت مع الشركات يوم الاثنين.) لكنهم لم ينفوا أن تطبيقات الويب التي عثر عليها RedAccess قد تركت مكشوفة.
كتب أمجد مسعد، الرئيس التنفيذي لشركة Replet، في منشور رد على X: “من المعلومات المحدودة التي شاركوها، يبدو أن ادعاء (RedAccess) الأساسي هو أن بعض المستخدمين قد نشروا تطبيقات على شبكة الإنترنت المفتوحة التي كان ينبغي أن تكون خاصة. يسمح Replit للمستخدمين باختيار ما إذا كانت التطبيقات عامة أو خاصة. يعد الوصول إلى التطبيقات العامة على الإنترنت سلوكًا متوقعًا. يمكن تغيير إعدادات الخصوصية في أي وقت بنقرة واحدة.”
