Ferramentas de IA que criam aplicativos em segundos expuseram milhares de apps sem proteção na internet pública. A análise encontrou mais de 5.000 aplicações vibe coding feitas com Lovable, Replit, Base44 e Netlify com falhas graves de acesso, incluindo dados corporativos e pessoais.
O alerta é que criar um app com IA ficou fácil, mas publicar esse app com segurança continua difícil. Equipes de marketing, vendas ou atendimento podem lançar ferramentas sem passar por revisão técnica.
Esse atalho cria risco para empresas que usam IA para protótipos, painéis internos, chatbots ou sistemas de apoio. Um link público pode expor dados que deveriam ficar restritos.
O risco inclui perda de dados, fraudes, dano à reputação e acesso indevido a sistemas internos.
Mais de 5.000 apps estavam acessíveis
À Wired, Dor Zvi, pesquisador de segurança e cofundador da RedAccess, analisou milhares de aplicações feitas com ferramentas de vibe coding. O termo descreve apps criados por comandos em linguagem natural, sem programação tradicional.
A equipe encontrou mais de 5.000 apps com pouca ou nenhuma autenticação. Em muitos casos, bastava digitar a URL no navegador para acessar a aplicação e seus dados.
Cerca de 40% desses apps expunham informações sensíveis, conforme a análise. A lista incluía dados médicos, registros financeiros, apresentações corporativas, documentos estratégicos e conversas de clientes com chatbots.
O problema não estava escondido
A busca pelos apps vulneráveis não exigiu invasão sofisticada. As plataformas permitem hospedar aplicações em seus próprios domínios. Os pesquisadores combinaram buscas simples no Google e no Bing com nomes desses domínios.
Entre os exemplos encontrados havia escalas de trabalho de um hospital com dados identificáveis de médicos, registros de carga de uma transportadora e informações de anúncios de uma empresa.
Também surgiram logs completos de conversas entre clientes e chatbots, com nomes e contatos. Em alguns casos, Zvi afirma que poderia obter privilégios administrativos e remover outros administradores.
Plataformas falam em escolha do usuário
As empresas citadas rejeitaram parte das conclusões dos pesquisadores. Replit afirmou que usuários podem escolher entre apps públicos e privados, e que apps públicos acessíveis na internet seguem o comportamento esperado.
Lovable declarou que leva relatos de dados expostos e phishing a sério. A empresa também afirmou que oferece ferramentas para criação segura, mas que a configuração final cabe ao criador.
Base44, controlada pela Wix, informou que oferece controles de acesso e visibilidade. A empresa disse que tornar aplicações públicas reflete uma escolha de configuração do usuário, não uma falha da plataforma.
Phishing e dados falsos complicam a leitura
A análise também encontrou sites de phishing criados com Lovable e hospedados no domínio da plataforma. Esses sites imitavam marcas como Bank of America, Costco, FedEx, Trader Joe’s e McDonald’s.
Nem todo dado exibido em um app de teste precisa ser real. Um pesquisador citado no material lembra que protótipos podem usar dados fictícios, placeholders ou conteúdo gerado por IA.
Ainda assim, o padrão preocupa. RedAccess afirma que contatou donos de algumas aplicações, que confirmaram exposição de dados. A equipe também compartilhou mensagens de usuários agradecendo o alerta.
A nova regra para usar IA sem vazamento
A comparação feita por Zvi é com os antigos vazamentos em buckets Amazon S3 mal configurados. O problema mistura erro humano, configuração confusa e falta de barreiras fortes.
A diferença agora está na escala. Qualquer pessoa dentro de uma empresa pode criar um app e colocá-lo em produção sem ciclo de desenvolvimento, revisão de segurança ou aprovação de TI.
Para reduzir o risco, empresas devem tratar apps feitos por IA como software real. Antes de publicar, é preciso revisar autenticação, permissões, dados usados, domínio, logs e acesso administrativo.
É editor-chefe, repórter e copywriter, escrevendo sobre espaço, tecnologia e, às vezes, sobre outros temas da cultura nerd. Grande entusiasta da astronomia, também é interessado em exploração espacial e fã de Star Trek.
