AIがますます現代のプログラマーの仕事を引き継いでいくなか、自動化されたコーディング・ツールが、ソフトウェアに悪用可能なバグの新たな“報奨金”を持ち込むことは確実だと、サイバーセキュリティの世界が警告してきました。しかし、同じ“雰囲気でコードを書く”ようなツールが、クリック一つでウェブ上でホスティングされたアプリを誰でも作れるようにすると、セキュリティ上の影響はバグだけにとどまらず、あらゆるセキュリティが完全に欠如していることが分かります――しかも、ときには非常に機密性の高い企業や個人のデータでさえも。
サイバーセキュリティ企業レッドアクセス(RedAccess)の共同創業者でセキュリティ研究者のDor Zvi(ドル・ツヴィ)とチームは、AIソフトウェア開発ツールのLovable、Replit、Base44、Netlifyを使って作られた“雰囲気コーディング”のウェブアプリを数千件分析し、そのうち5,000件以上が、ほぼセキュリティも、認証も、まったくといってよい状態だったことを突き止めました。こうしたウェブアプリの多くでは、単に自分がウェブのURLを見つけさえすれば、誰でもアプリとデータにアクセスできていました。別のものでは、そのアクセスに対して、訪問者がどんなメールアドレスでも使ってサインインすることを求める、といった些細な障壁しかありませんでした。Zviによれば、約40%のアプリは機密データを公開しており、医療情報、金融データ、企業のプレゼン資料、戦略文書に加えて、チャットボットとの顧客会話の詳細なログも含まれていました。
「最終的に、組織は“雰囲気コーディング”のアプリを通じて、実際にはプライベートデータを漏らしてしまっています」とZviは言います。「これは、企業やその他の機密情報を世界中の誰にでもさらしてしまう、史上でも最大級の出来事の一つです。」
Zviによれば、脆弱なウェブアプリを“洗い出す”ためのRedAccessの調査は、意外なほど簡単だったといいます。Lovable、Replit、Base44、Netlifyはいずれも、ユーザー自身ではなく、これらAI企業の用意した自社ドメイン上でウェブアプリをホストできるようにしています。そのため研究者たちは、AI企業のドメインに対する素直なGoogleやBingの検索と、ほかの検索語を組み合わせることで、その企業のツールで“雰囲気コーディング”された数千のアプリを特定したのです。
Zviが、誰でも自分のURLをブラウザに打ち込むだけで公開アクセスできていたと言うAIコードのアプリ5,000件のうち、約2,000件は、詳しく見るとプライベートデータが見えているように思えたといいます。WIREDに共有されたウェブアプリのスクリーンショット――そのうちいくつかは、WIREDがオンラインのままであること、そして公開されていたことを確認しています――には、病院の作業割り当てのようなものが写っており、そこには医師の個人を特定できる情報(PII)が含まれていました。さらに、ある会社の詳細な広告購入情報、別の企業の“市場投入(go-to-market)”戦略プレゼンのように見えるもの、そして、チャットボットが顧客と交わした会話の小売業者側の完全なログ(顧客の氏名や連絡先情報を含む)、配送会社の貨物記録、その他多数の企業からのさまざまな販売・財務記録などが写っていました。Zviによれば、ケースによっては、公開されていたアプリによって自分がシステムの管理者権限を得たり、他の管理者を削除したりできていた可能性も見つかったといいます。
Lovableのケースでは、Zviは、主要企業を装ってなりすましを行うフィッシングサイトの例も多数見つけたとしています。そこにはBank of America、Costco、FedEx、Trader Joe’s、McDonald’sなどが含まれており、これらはAIコーディングツールで作られ、Lovableのドメイン上でホスティングされているように見えたとのことです。
WIREDが4つのAIコーディング企業にRedAccessの調査結果を尋ねたところ、Netlifyは回答しませんでしたが、ほか3社は研究者側の主張を退け、十分な形で調査結果を共有していない、または応答するのに十分な時間を与えていないと抗議しました。(RedAccessによれば、同社は月曜日に各社へ連絡したとのことです。)しかし、RedAccessが見つけたウェブアプリが公開状態のまま放置されていたことは否定しませんでした。
「彼らが共有した限られた情報から判断すると、[RedAccess]の中核の主張は、一部のユーザーが“プライベートであるべき”アプリを公開のウェブ上に公開しているというもののようです」と、ReplitのCEOであるAmjad MasadはX上の返信投稿で書きました。「Replitでは、ユーザーがアプリを“公開”か“非公開”のどちらにするか選べます。アプリがインターネット上でアクセス可能であることは、想定される挙動です。プライバシー設定は、1クリックでいつでも変更できます。」
Lovableの広報担当者は声明で、「Lovableは公開されたデータやフィッシングサイトの報告を真剣に受け止めており、調査に必要なものを入手するために現在も積極的に取り組んでいます。これは継続中の案件として扱っています。加えて、Lovableはビルダーに安全に作るためのツールを提供していますが、アプリの設定方法は最終的に作成者の責任だという点も重要です」と述べました。
Base44の親会社Wixの広報責任者であるブレイク・ブロディは声明で、「Base44は、アクセス制御や可視性設定など、ユーザー自身のアプリケーションのセキュリティを構成するための強力なツールを提供しています」と書きました。さらに、「それらの制御を無効にすることは、意図的で単純明快な手順であり、どのユーザーでもできます。アプリケーションが公にアクセス可能だった場合、それはプラットフォームの脆弱性ではなく、ユーザーによる設定選択を反映しているだけです」と付け加えました。
ブロディはまた、「実在するユーザーデータを含んでいるように見えるアプリケーションを捏造するのは、あまりにも簡単です。私たちに対して単一の検証済みの具体例さえ提示されていない以上、これらの主張の妥当性を評価する手段がありません」と指摘しました。一方でRedAccessは、Base44に対して具体例を提供していなかったのではない、と異議を唱えました。
ズヴィは、公開されていた数十件のWebアプリについて、見かけ上の所有者に連絡するところまで行ったと述べており、その連絡先はデータが公開されたことを確認しました。RedAccessはまた、複数のケースで、公開されたWebアプリに注意を向けたことに対しBase44の利用者が研究者に感謝しており、その後そのアプリが安全化された、あるいはオフラインにされたことを示す匿名化されたやり取りをWIREDに共有しました。
どの特定の、無防備な(セキュリティが十分でない)AIコードのWebアプリで本当に実データが公開されているかを検証するのは難しい場合がある、と、セキュリティ研究者のジョエル・マルゴリスは言います。彼は同僚とともに最近、AIチャットのおもちゃがGmailアカウントを持つ誰でもアクセスできるサイトで、子どもたちとの会話50,000件を公開していたことを発見しました。彼によれば、vibeコードのWebアプリ内のデータは単なる置き換え(ダミー)の可能性もあるし、そのアプリが単なる概念実証(PoC)にすぎない可能性もあります。Wixのブロディは、WIREDがBase44に共有した2つの例はいずれもテストサイト、またはAIが生成したデータであるように見えた、と主張しました。
WIREDが確認したWebアプリのうち、私たちは、個人データまたは企業データが、見た目ほど機微性が高い(あるいは実在する)ものだったのかを裏づけることはできませんでした。
それでもマルゴリスは、AIによって作られたWebアプリがデータを公開してしまう問題は、非常に現実的だと言います。彼は「ズヴィが整理したのとまったく同じ種類の露出(公開)に、頻繁に遭遇する」と述べています。「マーケティングチームの誰かが、Webサイトを作りたいと考えるんです。相手はエンジニアではなく、しかもおそらくセキュリティの経験や知識はほとんど、あるいはまったくありません」とマルゴリスは言います。AIのコーディングツールは「言われたとおりにやってくれます。そして、それを安全に行うよう頼まない限り、わざわざ安全にするための工夫をしてくれるわけではありません」と続けました。
ズヴィは、Red Accessが見つけた公開済み5,000件のアプリは、AIコードツール自身のドメインでホストされていたものだけであり、さらに数千件以上が利用者が購入した独自ドメイン上でホストされている可能性が高いと指摘します。彼は、企業の無防備なAIコードのWebアプリによって生じている進行中のデータ公開の洪水を、以前の年にAmazon S3のストレージバケットのセキュリティ設定によって作られた、露出したデータの流行になぞらえています。VerizonからWorld Wrestling Entertainmentまでが、Amazonのクラウドストレージサービスの自社インスタンスにおける設定ミスによって、機微なデータの大量が誤って公開されてしまいました。それでもサイバーセキュリティ業界の多くは、同じ過ちを多くの顧客が犯してしまう原因となった、紛らわしいセキュリティ設定については、部分的にAmazonに責任があるとも見ていました。
AIのWebアプリを作るコーディングツールは、ユーザーのミスとセーフガード(予防策)が欠けている、という同様の組み合わせの結果として、データ公開の波を生み出している、とズヴィは言います。しかし、AIコーディング企業側の特定のセキュリティ上の不備よりも根本的なのは、単に、これらのツールによって組織内の新しい種類の人々がアプリケーションを作れるようになってしまうことだ、と彼は主張します。多くの場合、それはセキュリティへの意識がほとんどないまま、企業がアプリをリリースする前に審査するために使う通常のソフトウェア開発プロセスの外側で行われます。
「あなたの会社の誰かが、いつでもアプリを生成できてしまい、開発のサイクルも、セキュリティのチェックも一切通らないんです」とズヴィは言います。「誰にも聞かずに、いきなり本番で使い始められます。そして、実際にそうしているのです。」
