vibeコードで作られたアプリ5,000本が“影のAI（シャドーAI）”の危機をS3問題のように裏付けた

ほとんどの企業向けセキュリティプログラムは、サーバー、エンドポイント、クラウドアカウントを守るために作られてきました。誰ひとりとして、週末にLovableでプロダクトマネージャー気分でコードを書き、稼働中のSupabaseデータベースに接続し、Googleにインデックスされる公開URLでデプロイされた「顧客インテークフォーム」を見つけるために作られていませんでした。いま、そのギャップには値札が付いています。

イスラエルのサイバーセキュリティ企業 RedAccess による新しい調査が、その規模を数値化しました。同社は、アプリケーション、データベース、関連するインフラを含む、公開され誰でもアクセスできる資産が38万個あることを発見しました。これらは、Lovable、Base44、Replitといった「vibe coding」ツールで作られ、デプロイ基盤はNetlifyでした。これらの資産のうち、機微な企業情報を含んでいたのはおよそ5,000件、約1.3%でした。CEOのDor Zviは、顧客向けのシャドーAIを調査していたところ露出を見つけたと述べています。 Axiosが独自に複数の露出したアプリを検証し、 Wiredも別途、調査結果を確認しました。

確認された露出の中には、船会社のアプリがあり、どの船がどの港に到着すると見込まれているかを詳細に記載していました。社内のヘルスケア企業アプリケーションには、英国全体で進行中の臨床試験が列挙されていました。英国の内閣系サプライヤー向けの、全文（伏せ字なし）の顧客対応会話が、そのままオープンなウェブ上に置かれていました。ブラジルの銀行に関する社内の財務情報も、URLを見つけた誰にでもアクセス可能でした。

露出していたデータには、児童の長期ケア施設における患者同士の会話、病院の医師と患者の要約、セキュリティ企業におけるインシデント対応の記録、そして広告購入の戦略も含まれていました。管轄区域や関与するデータによっては、ヘルスケアおよび金融分野の露出が、HIPAA、UK GDPR、またはブラジルのLGPDに基づく規制上の義務を引き起こす可能性があります。

RedAccessは、Lovableで作られたフィッシングサイトが、バンク・オブ・アメリカ、FedEx、トレーダー・ジョーズ、マクドナルドを装っていたことも見つけました。Lovableは、フィッシングサイトの調査と削除を開始したと述べています。

デフォルトが問題だ

いくつかの「vibe coding」プラットフォームにおけるプライバシー設定では、ユーザーが手動で非公開に切り替えない限り、アプリが公開状態になります。これらのアプリの多くはGoogleや他の検索エンジンにインデックスされます。誰でも偶然そこにたどり着けます。Zviは率直にこう述べています。「セキュリティの周りに世界中の人を教育するのは現実的ではないと思う。母は[バイブコーディング]をLovableでやっているけど、失礼は承知で言うが、ロールベースのアクセスのことまで考えるとは思わない。」

これは孤立した発見ではない

2025年10月、Escape.tech 公開されている5,600のvibe-codedアプリケーションをスキャンし、2,000件超の高インパクトな脆弱性、APIキーやアクセス・トークンを含む400件超の露出したシークレット、さらに医療記録や銀行口座番号を含む個人データ露出の175件の実例を見つけました。Escapeが見つけたすべての脆弱性は、稼働中の本番システムに存在し、数時間以内に発見可能でした。 完全なレポートには手法が記載されています。Escapeはまた、2026年3月にBaldertonが主導する 1,800万ドルのシリーズAについても別途、AI生成コードが開いたセキュリティギャップを主要な市場仮説として挙げています。

Gartnerの 「Predicts 2026」レポート は、2028年までに、市民開発者が採用するプロンプトからアプリへのアプローチによってソフトウェアの欠陥が2,500%増加すると予測しています。Gartnerは、AIが生成したコードが構文上は正しいものの、より広いシステムアーキテクチャや微妙なビジネスルールへの認識が欠けているために発生する新たな種類の欠陥を特定しています。こうした深い文脈に紐づくバグの修正コストは、これまでイノベーションに割り当てられてきた予算を食い尽くすことになります。

シャドーAIは増幅器

IBMの2025年「データ侵害のコスト」レポートによると、シャドーAIに関連した侵害が発生した組織は全体の20%でした。これらのインシデントは平均の侵害コストに67万ドルを上乗せし、シャドーAI侵害の平均コストを463万ドルまで押し上げました。AI関連の侵害を報告した組織のうち、 97%が適切なアクセス制御を欠いていたのです。さらに、侵害を受けた組織の63%にはAIガバナンスのポリシーが存在しませんでした。

シャドーAIの侵害では、すべての侵害の平均が53%であるのに対し、顧客の個人を特定できる情報（PII）が65%と、偏って高い割合で露出しました。またデータは複数の環境に分散している場合が62%でした。AIガバナンスのポリシーを持つ組織で、承認されていないAIツールに対して定期的な監査を実施していたのは34%だけです。 VentureBeatのシャドーAI調査では、積極的に使われているシャドーアプリは2026年半ばまでに2倍以上になる可能性があると推定しています。Cyberhavenのデータでは、エンタープライズ環境におけるChatGPTのワークプレイスアカウントの73.8%が未承認でした。

まず何をするべきか

以下の監査（audit）フレームワークは、CISOが5つの領域にまたがるvibe-codedアプリのリスクを切り分け（triage）するための出発点を与えます。

これを「ポリシーの問題」として扱うCISOは、メモ（memo）を書くでしょう。これを「アーキテクチャの問題」として扱うCISOは、最大級の4つのvibe codingドメイン全体に対する発見スキャンを導入し、デプロイ前のセキュリティレビューを要求し、市民開発アプリをカバーするよう既存のAppSecパイプラインを拡張し、次回の役員会（ボードミーティング）までにそれらのドメインをDLPルールに追加します。そうしたCISOのうちの1人は、次の見出しを回避します。

RedAccessが記録した「バイブ・コーディング」への露出は、シャドーAIとは別の問題ではありません。これはシャドーAIの本番（プロダクション）レイヤーです。従業員は、デフォルトで公開になっているプラットフォーム上に社内ツールを構築し、認証を省き、また資産インベントリのどこにも登場しません。その結果、侵害が表面化するか、記者が先に見つけるまで、そのアプリケーションはセキュリティチームから見えないままになります。従来の資産発見ツールは、サーバー、コンテナ、クラウドインスタンスを見つけるよう設計されていました。週末にLovable上でプロダクトマネージャーが作り、ライブの顧客レコードを保持するSupabaseデータベースに接続し、Googleが数時間以内にインデックスした公開URLを通じて外部の請負業者3名と共有したマーケティング用コンフィギュレータを見つける方法などありません。

検知の難しさは、多くのセキュリティチームが考えるよりもさらに深いところにあります。バイブ・コーディングで作られたアプリは、頻繁にローテーションするプラットフォームのサブドメインにデプロイされることが多く、CDNレイヤーの背後にあって、オリジンとなるインフラを隠している場合がよくあります。成熟した安全なWebゲートウェイ、CASB、またはDNSログを運用している組織は、従業員がこれらのドメインにアクセスしたことを検知できます。ですが、「アクセスを検知する」ことと、「何がデプロイされたか」「それがどのデータを保持しているか」「認証が必要なのか」をインベントリ化することは同じではありません。主要なバイブ・コーディングプラットフォームに対する明示的な監視がなければ、アプリそのものが従来のSIEMやエンドポイントのテレメトリに対して生成するシグナルは限られたものになります。アプリは、ネットワーク可視性とアプリケーションのインベントリの間に存在するギャップに入り込みます。ほとんどのセキュリティスタックは、そのギャップをカバーするようには設計されていません。

プラットフォームの対応が物語る

ReplitのCEOであるAmjad Masadは、RedAccessが報道に行くまでの間に、同社に与えられたのはわずか24時間だったと述べました。Base44（Wix経由）とLovableはいずれも、RedAccessには、調査結果を検証するのに必要なURLや技術的な詳細が含まれていなかったとしました。いずれのプラットフォームも、露出したアプリケーションが存在することを否定しませんでした。