5.000 ứng dụng "vibe-coded" chứng minh Shadow AI là khủng hoảng bảo mật mới

Hầu hết các chương trình an ninh doanh nghiệp đều được xây dựng để bảo vệ máy chủ, các điểm cuối và tài khoản đám mây. Không chương trình nào được thiết kế để tìm ra một biểu mẫu nhập liệu khách hàng mà một quản lý sản phẩm đã "vibe-coded" (lập trình theo cảm xúc) trên nền tảng Lovable trong một cuối tuần, kết nối với cơ sở dữ liệu Supabase trực tiếp và triển khai trên một URL công khai được Google lập chỉ mục. Khoảng trống bảo mật đó giờ đây đã có cái giá cụ thể.

Nghiên cứu mới từ công ty an ninh mạng RedAccess của Israel đã định lượng quy mô của vấn đề. Công ty này đã phát hiện 380.000 tài sản có thể truy cập công khai, bao gồm ứng dụng, cơ sở dữ liệu và cơ sở hạ tầng liên quan, được xây dựng bằng các công cụ lập trình vibe coding từ Lovable, Base44 và Replit, cũng như nền tảng triển khai Netlify. Khoảng 5.000 trong số các tài sản đó, chiếm khoảng 1,3%, chứa thông tin nhạy cảm của doanh nghiệp. CEO Dor Zvi cho biết nhóm của ông đã phát hiện sự lộ dữ liệu này trong khi nghiên cứu Shadow AI (AI bóng tối) cho khách hàng. Axios và Wired đã độc lập xác minh nhiều ứng dụng bị lộ và xác nhận các phát hiện này.

Trong số các trường hợp lộ dữ liệu được xác thực bao gồm: một ứng dụng của công ty vận tải chi tiết các tàu sẽ cập cảng nào; một ứng dụng nội bộ của công ty y tế liệt kê các thử nghiệm lâm sàng đang hoạt động trên khắp Vương quốc Anh; toàn bộ các cuộc trò chuyện dịch vụ khách hàng chưa được che giấu của một nhà cung cấp tủ bếp tại Anh nằm trên web công khai; và thông tin tài chính nội bộ của một ngân hàng Brazil có thể được truy cập bởi bất kỳ ai tìm thấy URL.

Dữ liệu bị lộ cũng bao gồm các cuộc trò chuyện của bệnh nhân tại cơ sở chăm sóc dài hạn cho trẻ em, tóm tắt bác sĩ-bệnh nhân tại bệnh viện, hồ sơ phản ứng sự cố tại một công ty an ninh và các chiến lược mua quảng cáo. Tùy thuộc vào quyền hạn và dữ liệu liên quan, các trường hợp lộ dữ liệu y tế và tài chính có thể kích hoạt các nghĩa vụ quy định theo HIPAA, GDPR của Anh hoặc LGPD của Brazil.

RedAccess cũng tìm thấy các trang web lừa đảo (phishing) được xây dựng trên Lovable mạo danh Bank of America, FedEx, Trader Joe’s và McDonald’s. Lovable cho biết họ đã bắt đầu điều tra và gỡ bỏ các trang web lừa đảo này.

Cài đặt mặc định là vấn đề

Cài đặt quyền riêng tư trên một số nền tảng vibe coding khiến ứng dụng có thể truy cập công khai trừ khi người dùng chuyển thủ công sang chế độ riêng tư. Nhiều ứng dụng này được Google và các công cụ tìm kiếm khác lập chỉ mục. Bất kỳ ai cũng có thể tình cờ bắt gặp chúng. Ông Zvi nói thẳng: "Tôi không nghĩ việc giáo dục cả thế giới về an ninh là khả thi. Mẹ tôi đang dùng Lovable để vibe coding, và không offense, nhưng tôi không nghĩ bà ấy sẽ nghĩ đến việc kiểm soát quyền truy cập dựa trên vai trò."

Đây không phải là một phát hiện riêng lẻ

Vào tháng 10 năm 2025, Escape.tech đã quét 5.600 ứng dụng vibe-code có sẵn công khai và tìm thấy hơn 2.000 lỗ hổng tác động cao, hơn 400 bí mật bị lộ bao gồm khóa API và mã thông báo truy cập, và 175 trường hợp lộ dữ liệu cá nhân chứa hồ sơ y tế và số tài khoản ngân hàng. Mọi lỗ hổng mà Escape tìm thấy đều nằm trong hệ thống sản xuất trực tiếp, có thể phát hiện trong vài giờ.

Báo cáo "Dự báo 2026" của Gartner dự đoán rằng đến năm 2028, các phương pháp tiếp cận từ lệnh đến ứng dụng (prompt-to-app) được các nhà phát triển công dân chấp nhận sẽ làm tăng lỗi phần mềm lên 2.500%. Gartner xác định một lớp lỗi mới trong đó AI tạo ra mã cú pháp đúng nhưng thiếu nhận thức về kiến trúc hệ thống rộng lớn hơn và các quy tắc kinh doanh tinh tế. Chi phí khắc phục cho các lỗi ngữ cảnh sâu sắc này sẽ tiêu tốn ngân sách trước đây được phân bổ cho đổi mới.

Shadow AI là chất nhân tố

Báo cáo "Chi phí của một vụ vi phạm dữ liệu năm 2025" của IBM cho thấy 20% tổ chức đã trải qua các vụ vi phạm liên quan đến Shadow AI. Những sự cố này đã thêm 670.000 USD vào chi phí vi phạm trung bình, đẩy mức trung bình vi phạm Shadow AI lên 4,63 triệu USD. Trong số các tổ chức báo cáo các vụ vi phạm liên quan đến AI, 97% thiếu các biện pháp kiểm soát truy cập phù hợp. Và 63% tổ chức bị vi phạm không có chính sách quản trị AI nào.

Các vụ vi phạm Shadow AI lộ dữ liệu nhận dạng cá nhân (PII) của khách hàng quá mức ở mức 65%, so với 53% trên tất cả các vụ vi phạm, và ảnh hưởng đến dữ liệu được phân phối trên nhiều môi trường 62% thời gian. Chỉ 34% tổ chức có chính sách quản trị AI thực hiện kiểm toán thường xuyên cho các công cụ AI không được chấp thuận. Nghiên cứu Shadow AI của VentureBeat ước tính rằng các ứng dụng bóng tối đang được sử dụng tích cực có thể tăng gấp đôi vào giữa năm 2026. Dữ liệu của Cyberhaven cho thấy 73,8% tài khoản ChatGPT nơi làm việc trong môi trường doanh nghiệp là trái phép.

Cần làm gì trước

Khung kiểm toán dưới đây cung cấp cho các Giám đốc An ninh Thông tin (CISO) một điểm khởi đầu để phân loại rủi ro của các ứng dụng vibe-coded trên năm lĩnh vực.

Lĩnh vực	Trạng thái hiện tại (Hầu hết các tổ chức)	Trạng thái mục tiêu	Hành động đầu tiên
Khám phá (Discovery)	Không có khả năng nhìn thấy các ứng dụng vibe-coded	Quét tự động các tên miền nền tảng vibe coding	Chạy quét DNS + minh bạch chứng chỉ cho các tên miền con Lovable, Replit, Base44 và Netlify liên kết với tài sản doanh nghiệp
Xác thực	Mặc định nền tảng (công khai theo mặc định)	Tích hợp SSO/SAML bắt buộc trước khi triển khai	Chặn ứng dụng chưa xác thực truy cập vào nguồn dữ liệu nội bộ
Quét mã	Không có bảo vệ cho ứng dụng do công dân xây dựng	Bắt buộc SAST/DAST trước khi sản xuất	Mở rộng quy trình AppSec hiện có để bao gồm các triển khai vibe-coded
Phòng chống mất dữ liệu (DLP)	Không có bảo vệ DLP cho tên miền vibe coding	Chính sách DLP bao phủ Lovable, Replit, Base44, Netlify	Thêm tên miền nền tảng vibe coding vào các quy tắc DLP hiện có
Quản trị	Không có chính sách sử dụng AI hoặc phát hiện Shadow AI	Chính sách quản trị AI với kiểm toán thường xuyên cho công cụ không được chấp thuận	Công bố chính sách sử dụng chấp nhận được cho các công cụ lập trình AI với cổng xem xét trước khi triển khai

CISO coi đây là vấn đề chính sách sẽ viết một bản ghi nhớ. CISO coi đây là vấn đề kiến trúc sẽ triển khai quét khám phá trên bốn tên miền vibe coding lớn nhất, yêu cầu xem xét an ninh trước khi triển khai, mở rộng quy trình AppSec hiện có cho các ứng dụng do công dân xây dựng và thêm các tên miền đó vào quy tắc DLP trước cuộc họp hội đồng quản trị tiếp theo. Một trong hai CISO đó sẽ tránh được tiêu đề báo chí tiếp theo.

Sự lộ dữ liệu vibe coding mà RedAccess ghi lại không phải là một vấn đề tách biệt với Shadow AI. Nó là lớp sản xuất của Shadow AI. Nhân viên xây dựng các công cụ nội bộ trên các nền tảng mặc định là công khai, bỏ qua xác thực và không bao giờ xuất hiện trong bất kỳ danh mục tài sản nào, điều này có nghĩa là các ứng dụng vẫn vô hình đối với các nhóm an ninh cho đến khi một vụ vi phạm bề mặt hoặc một phóng viên tìm thấy chúng trước. Các công cụ khám phá tài sản truyền thống được thiết kế để tìm máy chủ, vùng chứa và phiên bản đám mây. Chúng không có cách nào tìm thấy một công cụ cấu hình tiếp thị mà một quản lý sản phẩm đã xây dựng trên Lovable trong một cuối tuần, kết nối với cơ sở dữ liệu Supabase chứa hồ sơ khách hàng trực tiếp và chia sẻ với ba nhà thầu bên ngoài thông qua URL công khai mà Google lập chỉ mục trong vài giờ.

Thách thức phát hiện sâu hơn nhiều so với hầu hết các nhóm an ninh nhận ra. Các ứng dụng vibe-coded được triển khai trên các tên miền con của nền tảng xoay vòng thường xuyên và thường nằm sau các lớp CDN che giấu cơ sở hạ tầng gốc. Các tổ chức chạy cổng web an toàn, CASB hoặc ghi nhật ký DNS trưởng thành có thể phát hiện quyền truy cập của nhân viên vào các tên miền này. Nhưng việc phát hiện quyền truy cập không giống như lập danh mục những gì đã được triển khai, dữ liệu nó giữ, hay liệu nó có yêu cầu xác thực hay không. Nếu không có giám sát rõ ràng các nền tảng vibe coding chính, chính các ứng dụng tạo ra tín hiệu hạn chế trong telemetry SIEM hoặc điểm cuối thông thường. Chúng tồn tại trong một khoảng trống giữa khả năng nhìn thấy mạng và danh mục ứng dụng mà hầu hết các ngăn xếp an ninh không bao giờ được thiết kế để bao phủ.

Phản hồi từ các nền tảng nói lên câu chuyện

CEO Replit Amjad Masad cho biết RedAccess chỉ đưa cho công ty ông 24 giờ trước khi đi đến báo chí. Base44 (thông qua Wix) và Lovable đều cho biết RedAccess không bao gồm URL hoặc chi tiết kỹ thuật cần thiết để xác minh các phát hiện. Không nền tảng nào phủ nhận rằng các ứng dụng bị lộ tồn tại.

Wiz Research riêng biệt đã phát hiện vào tháng 7 năm 2025 rằng Base44 chứa một lỗ hổng bỏ qua xác thực trên toàn nền tảng. Các điểm cuối API bị lộ cho phép bất kỳ ai tạo tài khoản được xác minh trên các ứng dụng riêng tư chỉ bằng một app_id hiển thị công khai. Lỗ hổng này có nghĩa là việc đến một tòa nhà bị khóa và hét lên số phòng là đủ để mở cửa. Wix đã khắc phục lỗ hổng trong vòng 24 giờ sau khi Wiz báo cáo, nhưng sự cố đã phơi bày lớp xác thực mỏng manh như thế nào trên các nền tảng nơi hàng triệu ứng dụng đang được xây dựng bởi những người dùng giả định nền tảng xử lý an ninh cho họ.

Mô hình này nhất quán trên toàn hệ sinh thái vibe coding. CVE-2025-48757 ghi lại các chính sách bảo mật cấp độ hàng (Row-Level Security) không đủ hoặc bị thiếu trong các dự án Supabase do Lovable tạo ra. Một số truy vấn đã bỏ qua kiểm tra truy cập hoàn toàn, lộ dữ liệu trên hơn 170 ứng dụng sản xuất. AI đã tạo ra lớp cơ sở dữ liệu. Nó không tạo ra các chính sách an ninh lẽ ra phải hạn chế ai có thể đọc dữ liệu. Lovable tranh luận về phân loại CVE, stating rằng từng khách hàng chấp nhận trách nhiệm bảo vệ dữ liệu ứng dụng của họ. Chính cuộc tranh luận này minh họa sự căng thẳng cốt lõi: các nền tảng tiếp thị cho những người xây dựng không kỹ thuật đang chuyển trách nhiệm an ninh sang những người dùng không biết nó tồn tại.

Điều này có nghĩa là gì cho các nhóm an ninh

Các phát hiện của RedAccess đã hoàn thành bức tranh. Các tác nhân chuyên nghiệp đối mặt với trộm cắp thông tin đăng nhập ở một lớp. Các nền tảng công dân đối mặt với lộ dữ liệu ở lớp khác. Thất bại về cấu trúc là giống nhau. Đánh giá an ninh diễn ra sau khi triển khai hoặc không bao giờ. Các hệ thống quản lý danh tính và truy cập theo dõi người dùng và tài khoản dịch vụ. Chúng không theo dõi ứng dụng Lovable mà một chuyên gia phân tích hoạt động kinh doanh bán hàng đã triển khai vào thứ Ba tuần trước, kết nối với cơ sở dữ liệu CRM trực tiếp và chia sẻ với ba nhà thầu bên ngoài thông qua URL công khai.

Không ai hỏi liệu chính sách cơ sở dữ liệu có hạn chế ai có thể đọc dữ liệu hay liệu các điểm cuối API có yêu cầu xác thực hay không. Khi những câu hỏi đó không được đặt ra với tốc độ tạo của AI, sự lộ dữ liệu mở rộng nhanh hơn bất kỳ quy trình xem xét của con người nào có thể theo kịp. Câu hỏi dành cho các lãnh đạo an ninh không phải là liệu các ứng dụng vibe-coded có nằm trong chu vi của họ hay không. Câu hỏi là bao nhiêu ứng dụng, giữ dữ liệu gì, hiển thị với ai. Các phát hiện của RedAccess gợi ý rằng câu trả lời, đối với hầu hết các tổ chức, tồi tệ hơn nhiều so với bất kỳ ai trong cấp C-suite hiện biết. Những tổ chức bắt đầu quét trong tuần này sẽ tìm thấy chúng. Những người chờ đợi sẽ đọc về chính mình trên báo vào lần tới.