イスラエルのサイバー企業RedAccessは、vibe codingで作られたアプリの公開露出を調査し、公開資産約38万件のうち約5,000件(約1.3%)に機密情報が含まれていたと発表しました。対象はLovable、Base44、Replitなどのvibe codingツールと、Netlifyのデプロイ基盤を使ったアプリ、データベース、関連インフラです。
RedAccessのCEO Dor Zviは、顧客向けにshadow AIを調べる過程で露出を見つけたと説明しました。AxiosとWiredもそれぞれ複数の露出アプリを独自に確認しました。
確認された例として、海運会社のアプリでは入港予定の船舶と港が公開され、医療関連では英国の臨床試験が列挙されていました。英国のキャビネット業者では顧客対応の会話が無修正で公開され、ブラジルの銀行の内部財務情報もURLを見つければ閲覧可能だったとされています。
また、小児長期ケア施設の患者の会話や、病院の医師と患者の要約、警備会社のインシデント対応記録など医療・個人情報の露出も含まれていました。規制対応はHIPAA、UK GDPR、ブラジルのLGPDに該当する可能性があるとしています。
RedAccessはLovableを使ったフィッシングサイトも見つけ、米大手企業名をかたるケースがあったとしました。Lovableは当該フィッシングサイトの調査と削除を始めたと伝えられています。
問題の背景として、複数のvibe codingプラットフォームで公開設定がデフォルトになり、利用者が手動で非公開に切り替えない限り検索エンジンにインデックスされ得る点が挙げられています。
記事ではCISO向けに、LovableやReplit、Base44、Netlifyのドメインを対象にした自動スキャン、デプロイ前のセキュリティ審査、既存AppSecパイプラインの拡張、DLPルールへの追加、シャドーAI検知を含むガバナンスポリシー整備を最初の行動として提示しています。
参照元:2026/05/09 「5,000 vibe-coded apps just proved shadow AI is the new S3 bucket crisis」 https://venturebeat.com/security/vibe-coded-apps-shadow-ai-s3-bucket-crisis-ciso-audit-framework
この記事へのリアクション
このニュースをどう受け止めましたか?
コメント