ஆயிரக்கணக்கான AI உருவாக்கிய web apps sensitive data-ஐ வெளிப்படுத்துகின்றன, report says

AI உருவாக்கிய web apps, sensitive data-ஐ வெளிப்படையாக காட்சிப்படுத்துகின்றன

Lovable, Replit, Base44, மற்றும் Netlify போன்ற tools-ஐப் பயன்படுத்தி உருவாக்கப்பட்ட web apps-ஐ RedAccess ஆய்வு செய்ததில், ஆயிரக்கணக்கான apps-ல் access control மிகக் குறைவாகவோ இல்லையோ இருந்தது; பலவற்றில் sensitive corporate மற்றும் personal information வெளிப்பட்டது.

DT Editorial AI

May 7, 2026·3 min read·639 words

உடனே app உருவாக்கும் ஈர்ப்பு அடிப்படை security-யுடன் மோதுகிறது

AI-assisted app builders, கிட்டத்தட்ட எவருக்கும் சில நிமிடங்களில் web application-ஐ உருவாக்கி deploy செய்ய முடியும் என்ற வாய்ப்பை வழங்கியுள்ளது. அந்த வேகமே அவற்றின் ஈர்ப்பின் ஒரு பகுதி. அதே வேகம், அதிகரித்து வரும் வகையில், பிரச்சினையின் ஒரு பகுதியாகவும் உள்ளது.

Wired வெளியிட்ட, cybersecurity firm RedAccess நடத்திய ஆய்வை அடிப்படையாகக் கொண்ட செய்தியின் படி, Lovable, Replit, Base44, மற்றும் Netlify போன்ற tools-ஐப் பயன்படுத்தி உருவாக்கப்பட்ட public-facing apps ஆயிரக்கணக்கானவை மிகக் குறைந்த அல்லது செயல்திறனற்ற security-யுடன் இருந்தன. 5,000-க்கும் அதிகமான சம்பவங்களில், URL-ஐ அறிந்தோ ஊகித்தோ எவரும் அணுகக்கூடியதாக applications இருந்ததாக கூறப்படுகிறது. RedAccess cofounder Dor Zvi கூறியதன்படி, ஆய்வு செய்யப்பட்ட apps-இல் சுமார் 40% sensitive information-ஐ வெளிப்படுத்தின.

அறிக்கையில் குறிப்பிடப்பட்ட exposed material சாதாரணமானது அல்ல. medical information, financial data, corporate presentations, strategy documents, மற்றும் customer chatbot logs இதில் இருந்ததாக Zvi கூறினார். screenshots-இல் காட்டப்பட்ட exposed applications பல இன்னும் online-இலும் accessible-ஆகவும் இருந்ததை Wired உறுதிப்படுத்தியதாகவும் கூறியது.

இது bugs பற்றியதுதான் அல்ல

இந்த அறிக்கையில் மிக முக்கியமான அம்சம், இவ்வாறு ஏற்பட்ட பல failures நுண்ணிய coding flaws அல்ல என்பதுதான். அவை missing அல்லது இல்லாத அளவுக்கு அரிதான access control சம்பவங்களாக இருந்தன. சில apps, browser வைத்திருக்கும் யாருக்கும் data-ஐ அணுக அனுமதித்ததாகக் கூறப்படுகிறது. மற்றவை, report கூறுவதன்படி, visitor எந்த email address-ஐயும் பயன்படுத்தி sign in செய்ய அனுமதித்தல் போன்ற பலவீனமான தடைகளையே நம்பியிருந்தன.

இந்த வேறுபாடு முக்கியமானது, ஏனெனில் அது threat model-ஐ மாற்றுகிறது. Security teams software-இல் exploitable defects-ஐ தேடுவதற்கு பழகியிருக்கின்றன. RedAccess விவரிப்பது அதைவிட அடிப்படையானது: applications யார் உள்ளே இருக்க வேண்டும் என்பதற்கான அர்த்தமுள்ள கருத்து இல்லாமலேயே live ஆகின்றன.

அந்த வகையில், “vibe-coded” apps ஏற்படுத்தும் ஆபத்து AI புதிய bugs-ஐ உருவாக்கும் என்பதற்காக மட்டும் அல்ல. அதே tooling software வெளியிடும் friction-ஐ இவ்வளவு குறைப்பதால்தான் சில creators foundational security decisions-ஐ முற்றிலும் தவிர்க்கிறார்கள்.

Culture

வயது சார்ந்த சிக்னல்களை அறிய உரை, படங்கள், வீடியோக்களை பகுப்பாய்வு செய்யும் AI அமைப்புகளை சேர்த்து, சிறார்களின் கணக்குகளை கண்டறிந்து நீக்க முயல்கிறதாக Meta கூறுகிறது.

DT Editorial AI·May 7, 2026·via wired.com

Culture

NASA-ISRO NISAR பணியின் தொடக்கக் கண்காணிப்புகள், மெக்சிகோ சிட்டியின் சில பகுதிகள் மாதத்திற்கு 2 சென்டிமீட்டருக்கு மேல் கீழிறங்குவதாகக் காட்டுகின்றன; இது நீண்ட காலமாக நிலவும் அட்கட்டமைப்பு அச்சுறுத்தலின் படத்தை மேலும் கூர்மையாக்குகிறது.

DT Editorial AI·May 6, 2026·via wired.com

இது பெரிய organizational பிரச்சினையாக ஏன் இருக்கலாம்

இந்த leak pattern-ஐ Zvi மிகவும் கடுமையான சொற்களில் விவரித்தார்; vibe-coding applications மூலம் organizations private data-ஐ வெளிப்படுத்தி வருவதாகவும், இது உலகில் sensitive information யாருக்கும் திறக்கப்பட்ட மிகப்பெரிய events-இல் ஒன்றாகவும் கூறினார். security disclosures-க்கு அடிக்கடி கூடும் rhetoric-ஐ ஒதுக்கினாலும், அடிப்படையான pattern முக்கியமானது.

நிறுவனங்களுக்குள் AI development tools பரவுவதால் software creation இனி பாரம்பரிய engineering teams-க்கு மட்டும் கட்டுப்பட்டதல்ல. Product managers, analysts, marketers, மற்றும் operations staff இப்போது ஒரு prompt மற்றும் deploy button மூலம் internal tools அல்லது customer-facing prototypes-ஐ உருவாக்க முடிகிறது. அது software-ஐ யார் எழுதுகிறார்கள் என்பதை மாற்றுகிறது; ஆனால் software என்ன வெளிப்படுத்த முடியும் என்பதைக் மாற்றவில்லை.

ஒரு employee AI-built app-ஐ internal data-க்கு இணைத்து default settings-உடன் publish செய்தால், எந்த malicious attacker-ும் perimeter-ஐ breach செய்யாமலேயே முழுமையான leak ஏற்படலாம். application தானே breach ஆகிறது.

பிரச்சினையின் பின்னுள்ள கலாச்சார மாற்றம்

இந்தக் கதையின் ஒரு பகுதி technical; மற்றொரு பகுதி cultural. AI coding platforms உடனடித்தன்மை (immediacy) மீது விற்கப்படுகின்றன. presentations அல்லது documents உருவாக்கப்படுவது போல software-ஐயும் விரைவாக, iterative-ஆக, மற்றும் அதிக specialized training இல்லாமல் உருவாக்கலாம் என அவை வாக்குறுதி அளிக்கின்றன. அந்த வாக்குறுதி சக்திவாய்ந்தது, குறிப்பாக வேகமான experimentation-ஐ விரும்பும் நிறுவனங்களில்.

ஆனால் software என்பது creative artifact மட்டும் அல்ல. அது ஒரு access surface-வும் கூட. apps உருவாக்குவது எளிதாகிற அளவுக்கு, insecure apps-ஐ அளவோடு உருவாக்குவதும் எளிதாகிறது. அந்த வகையில், Wired report ஒரு தனிப்பட்ட vendor issue போல அல்ல; shadow IT-இன் புதிய வகைக்கு முன் எச்சரிக்கை போல வாசிக்கப்படுகிறது.

hosting, deployment, மற்றும் discoverability அனைத்தும் ஒரே workflow-இல் built-in ஆக இருக்கும்போது பிரச்சினை மேலும் தீவிரமாகிறது. ஒரு user app-ஐ உருவாக்கி, data connect செய்து, சில நிமிடங்களில் அதை major platform domain-ல் publish செய்ய முடிந்தால், governance மேல்நிலைக்கு நகர வேண்டும். deployment பிறகு செய்யும் security review மிகவும் தாமதமாக இருக்கலாம்.