AI-निर्मित web apps उघडपणे sensitive data उघड करत आहेत

हे apps कसे सापडले

RedAccess ने सांगितले की शोध प्रक्रिया आश्चर्यकारकपणे सोपी होती. अहवालात नाव दिलेले platforms users ला त्यांच्या स्वतःच्या control मधील domains ऐवजी कंपन्यांच्या स्वतःच्या domains वर apps host करण्याची परवानगी देतात. संशोधकांनी त्या domains ला लक्ष्य करणारे साधे Google आणि Bing searches, तसेच इतर search terms वापरून मोठ्या संख्येने AI-built apps ओळखल्या.

हा तपशील platform providers आणि अंतर्गत वापर करणाऱ्या संस्थांनाही चिंतेचा विषय असावा. यावरून exposed apps वेबच्या एखाद्या लपलेल्या कोपऱ्यात नव्हत्या हे दिसते. त्या सामान्य search methods ने शोधता येत होत्या. एकदा शोधता येण्याजोग्या झाल्यावर, absent किंवा कमजोर authentication थेट data exposure चा मार्ग बनते.

हे मोठे organizational problem का ठरू शकते

Zvi यांनी leak pattern चे वर्णन अतिशय तीव्र भाषेत केले; vibe-coding applications द्वारे organizations private data उघड करत आहेत, आणि हे जगभरातील sensitive information कोणालाही उघडे पडण्याच्या सर्वात मोठ्या घटनांपैकी एक आहे, असे त्यांनी म्हटले. security disclosures बरोबर नेहमी येणारी rhetoric बाजूला ठेवली तरी underlying pattern महत्त्वाचा आहे.

कंपन्यांमध्ये AI development tools पसरल्यामुळे software creation आता पारंपरिक engineering teams पुरती मर्यादित राहिलेली नाही. Product managers, analysts, marketers, आणि operations staff आता एक prompt आणि deploy button वापरून internal tools किंवा customer-facing prototypes तयार करू शकतात. यामुळे software कोण लिहित आहे, ते बदलते; पण software काय उघड करू शकते, ते बदलत नाही.

जर एखादा employee AI-built app ला internal data शी जोडून default settings सह publish करत असेल, तर कोणत्याही malicious attacker ला perimeter breach करण्याची गरज न पडता पूर्ण leak होऊ शकतो. application स्वतः breach बनते.

समस्येमागील सांस्कृतिक बदल

या कथेचा एक भाग technical आहे, पण एक भाग cultural देखील आहे. AI coding platforms immediacy वर विकल्या जातात. त्या वचन देतात की software presentations किंवा documents प्रमाणे वेगाने, iterative पद्धतीने, आणि जास्त specialized training शिवाय तयार करता येईल. हे वचन शक्तिशाली आहे, विशेषतः जलद experimentation हवी असलेल्या संस्थांमध्ये.

पण software फक्त एक creative artifact नाही. ते access surface देखील आहे. apps तयार करणे जितके सोपे होईल, तितकेच insecure apps मोठ्या प्रमाणावर तयार करणेही सोपे होईल. त्या अर्थाने, Wired चा अहवाल एका isolated vendor issue पेक्षा shadow IT च्या नव्या वर्गाविषयी सुरुवातीची चेतावणी वाटतो.

जेव्हा hosting, deployment, आणि discoverability एकाच workflow मध्ये built-in असतात, तेव्हा समस्या अधिकच वाढते. जर एखादा user app तयार करू शकतो, data connect करू शकतो, आणि काही मिनिटांत ती major platform domain वर publish करू शकतो, तर governance upstream ला हलवावे लागेल. Deployment नंतरची security review कदाचित उशीराची ठरू शकते.

आता काय झाले पाहिजे

अहवालाने नाव दिलेल्या सर्व platforms कडून formal responses दिलेले नाहीत, त्यामुळे सर्वात defensible takeaway कोणत्याही एका कंपनीपेक्षा व्यापक असायला हवा. AI app-building ecosystems ला authentication आणि data exposure संदर्भात मजबूत defaults हवेत. Users ना काय public होते आहे, याबद्दल स्पष्ट warnings हव्यात. आणि संस्थांनी prompt-based app builders ना harmless productivity tools म्हणून नाही, तर खरे software development environments म्हणून पाहिले पाहिजे.

मुख्य धडा स्पष्ट आहे. app creation instantaneous झाल्यावर security optional किंवा assumed राहू शकत नाही. AI software tooling मधील खरा breakthrough code किती वेगाने publish होते यावरच मोजला जाणार नाही. तो inexperienced builders ना त्यांचा data त्याच्यासोबत publish करण्यापासून किती चांगले रोखतो, यावर मोजला जाईल.

हा लेख Wired च्या रिपोर्टिंगवर आधारित आहे. मूळ लेख वाचा.