Teknologi

En scanning af 380.000 apps bygget med AI fandt tusinder uden nogen som helst autentificering

En scanning af 380.000 apps bygget med AI fandt tusinder uden nogen som helst autentificering
Susan Hill
8. maj 2026, kl. 18:46

Pitchet fra vibe-coding har siden 2023 været det samme — hvem som helst kan bygge en app. En ny scanning fra RedAccess afleverer den første rigtige kvittering. Ud af omkring 380.000 webapplikationer bygget med AI-baserede kodeværktøjer og rullet ud gennem tjenester som Netlify, havde cirka 5.000 ingen autentificering overhovedet. Omkring 40 procent af disse ubeskyttede apps gemte følsomme data — brugeroplysninger, samtalelogfiler, betalingsdata, interne adgangsoplysninger. Tallene landede i denne uge hos WIRED, Axios og Security Boulevard, og beskriver en kategori af fejl, som branchen stille har samlet sig op i to år.

De nævnte generatorer er platforme, enhver ikke-udvikler kender. Lovable, Replit, Base44 og det bredere økosystem af “byg-ud-fra-en-prompt”-værktøjer har solgt det samme stiltiende løfte fra start — AI erstatter ikke kun selve det at taste kode, den erstatter også ingeniøren, der burde stå med i loopet. Du vælger en prompt, ser appen tage form, sender den i produktion via Netlify eller Vercel, deler linket. Det scanningen fra RedAccess dokumenterer er det, der stille er gået i drift, uden at nogen i den loop har spurgt, om appen har brug for en lås.

Sårbarhederne er ikke subtile. De ubeskyttede apps krævede ikke en dygtig angriber — de krævede en browser. Mange blev udrullet med Supabase- eller Firebase-nøgler bagt direkte ind i klient-bundlen, hvilket betyder, at enhver med interesse kan læse databasen. Nogle gav også skriveadgang til den samme database, så en fremmed kan redigere dine brugeres data. Et par stykker eksponerede administrationsendpoints. Fejlkategorien er hverken en zero-day eller en dårligt konfigureret grænsesag. Det er den totale fravær af sikkerhedslaget.

StoneHold afsløret: En hybrid mellem action-MOBA og samlekortspil

Skepsis hører til her, for fristelsen til at skyde skylden på værktøjerne er stor og kun delvist rigtig. En junior udvikler, der byggede den samme app fra bunden uden tilsyn, ville aflevere noget tilsvarende. Forskellen er volumen. Vibe-coding-værktøjer sænker tærsklen nok til, at det samlede antal apps, der driftsættes af folk, som ikke selvstændigt kan ræsonnere om autentificering, er eksploderet. Værktøjerne kan teknisk tilbyde et auth-stillads, men standardflowet tvinger det ikke igennem, og de brugere, der får mest ud af disse værktøjer, er præcis dem, der er mindst rustede til at opdage, når det mangler. Lovable siger, at de arbejder på at aktivere auth-stillads som standard. Replit peger på de eksisterende sikkerhedsindstillinger og anerkender, at brugere kan slå dem fra. Base44 har ikke kommenteret offentligt. Platformene reagerer — spørgsmålet er, om reaktionen bevæger sig hurtigere end udrulningskurven.

Den strukturelle læsning er sværere at sluge. I to år har branchen solgt fjernelsen af det professionelle review fra deploy-pipelinen som en feature, ikke som en omkostning. RedAccess-tallene er, hvordan den fjernelse ser ud i skala. Apperne fungerer for den bruger, der byggede dem, og de fungerer også for enhver anden, der finder URL’en. De næste to år vil sandsynligvis være en langsom ophobning af den slags hændelser, indtil platformene kræver autentificering på framework-niveau som standard, eller indtil tilsynsmyndigheder tvinger dem til det. Begge dele kan ske. EU’s produktansvarsregime læses allerede igennem på ny for at dække AI-genereret software, og delstatslige statsadvokater i USA er begyndt at kredse om sagen.

Det, brugere af disse platforme kan gøre i dag, er smalt. RedAccess har udgivet vejledninger til de fire nævnte værktøjer — tjek, at appen kræver login, før der gives adgang til data, gennemgå de nøgler, der sendes med i klient-bundlen, og gå ud fra, at enhver URL, du har delt, allerede bliver scannet af nogen. Platformene har lovet forbedringer. Scanningen, der producerede denne historie, tog få dage. Den næste er allerede under planlægning.

Flere som denne

Spotify Premium får 1.400 Peloton-træningspas gratis — uden behov for kondicykel

Spotify Premium får 1.400 Peloton-træningspas gratis — uden behov for kondicykel

En login-fejl efterlod 70 millioner cPanel-hjemmesider åbne for alle

En login-fejl efterlod 70 millioner cPanel-hjemmesider åbne for alle

Kina godkender verdens første kommercielle hjerneimplantat og lader Neuralink bag sig

Kina godkender verdens første kommercielle hjerneimplantat og lader Neuralink bag sig

Europa træder ind i exaskala-æraen med supercomputeren JUPITER

Europa træder ind i exaskala-æraen med supercomputeren JUPITER

Perplexitys Mac-agent koster 200 dollar om måneden og læser din e-mail

Perplexitys Mac-agent koster 200 dollar om måneden og læser din e-mail

Maestro: VR-dirigentspil får Star Wars-DLC og lanceres til PSVR2

Maestro: VR-dirigentspil får Star Wars-DLC og lanceres til PSVR2

Debat

Der er 0 kommentarer.