En skanning av 380 000 AI-byggda appar hittade tusentals utan någon autentisering alls

Vibe-codingens säljpitch sedan 2023 har varit densamma — vem som helst kan bygga en app. En ny skanning från RedAccess levererar det första riktiga kvittot. Av ungefär 380 000 webbapplikationer byggda med AI-baserade kodningsverktyg och driftsatta via tjänster som Netlify, hade omkring 5 000 ingen autentisering alls. Cirka 40 procent av dessa oskyddade appar lagrade känsliga data — användarinformation, samtalsloggar, betalningsuppgifter, interna inloggningsuppgifter. Siffrorna landade denna vecka hos WIRED, Axios och Security Boulevard och beskriver en kategori av fel som branschen tyst byggt på i två år.

De namngivna generatorerna är plattformarna som vilken icke-utvecklare som helst redan känner till. Lovable, Replit, Base44 och det bredare ekosystemet av ”bygg från en prompt”-verktyg har sålt samma underförstådda löfte sedan starten — AI ersätter inte bara skrivandet av koden, den ersätter också ingenjören som borde stå med i loopen. Du väljer en prompt, ser appen växa fram, skickar ut den i produktion via Netlify eller Vercel, delar länken. Det skanningen från RedAccess dokumenterar är det som tyst gått ut i drift utan att någon i den loopen frågat sig om appen behöver lås.

Sårbarheterna är inte subtila. De oskyddade apparna krävde ingen smart angripare — de krävde en webbläsare. Många levererades med Supabase- eller Firebase-nycklar bakade direkt i klientbundlen, vilket innebär att den som är nyfiken kan läsa databasen. Vissa gav även skrivåtkomst till samma databas, så en främling kan redigera dina användares uppgifter. Några exponerade administrationsendpoints. Felkategorin är varken en zero-day eller ett dåligt konfigurerat gränsfall. Det är säkerhetslagrets totala frånvaro.

Du kanske också gillarBloomberg placerar Alibaba i änden av Nvidias 2,5-miljardersledning som gick via Thailand

Skepsis hör hemma här, för frestelsen att skylla på verktygen är stor och bara delvis rätt. En junior utvecklare som bygger samma app från grunden utan handledning skulle skicka ut något liknande. Skillnaden är volymen. Vibe-coding-verktygen sänker tröskeln tillräckligt mycket för att det totala antalet appar som driftsätts av människor utan självständig förmåga att resonera kring autentisering ska ha exploderat. Verktygen kan tekniskt erbjuda ett auth-skelett, men standardflödet tvingar inte fram det, och de användare som tjänar mest på dessa verktyg är just de som är minst utrustade att märka när det saknas. Lovable säger sig arbeta på att aktivera auth-skelett i standardläget. Replit pekar på befintliga säkerhetsinställningar och medger att användare kan stänga av dem. Base44 har inte kommenterat offentligt. Plattformarna reagerar — frågan är om reaktionen rör sig fortare än driftsättningskurvan.

Den strukturella läsningen är svårare att svälja. I två år har branschen sålt borttagandet av professionell granskning ur leveransflödet som en fördel, inte en kostnad. RedAccess data är hur det borttagandet ser ut i skala. Apparna fungerar för användaren som byggt dem och de fungerar lika bra för vem som helst som hittar URL:en. De närmaste två åren blir troligen en långsam ackumulation av sådana incidenter, tills plattformarna kräver autentisering på rampverksnivå som standard, eller tills regulatorer tvingar dem att göra det. Båda kan inträffa. EU:s produktansvarsregim läses redan om för att täcka AI-genererad mjukvara, och delstatsåklagare i USA har börjat cirkla runt frågan.

Vad användare av dessa plattformar kan göra i dag är begränsat. RedAccess har publicerat vägledningar för de fyra namngivna verktygen — kontrollera att appen kräver inloggning före all dataåtkomst, granska nycklarna som följer med klientbundlen, och utgå från att varje URL du delat redan skannas av någon. Plattformarna har lovat förbättringar. Skanningen som producerade den här historien tog några dagar. Nästa planeras redan.

Mer som detta

Torchlight: Infinite lanserar säsong 12 tre månader efter sitt historiska spelarrekord

Endflame utannonserar Silent Road: Ett psykologiskt skräckspel i japansk miljö

Destiny 2 avslöjar samarbete med Lucasfilm Games i expansionen Renegades

DeepSeek V4 kostar en femtedel av GPT-5 och körs utan Nvidia-chips

DJI Osmo Pocket 4 lanseras globalt — men amerikanska köpare är utestängda

Kina godkänner världens första kommersiella hjärnimplantat och lämnar Neuralink efter sig