Une nouvelle étude menée par RedAccess alerte sur le vibe coding mal maîtrisé. Des milliers d'apps générées ont été analysées et le constat est sans réelle surprise : + 5 000 apps de l'échantillon présentent des failles de sécurité, des données accessibles, un manque de contrôle des accès, des URL faciles à trouver, etc. Selon le rapport, 40 % des apps analysées permettent un accès à des données sensibles. De nombreuses apps sont hébergées sur des plateformes telles que Netlify, Lovable, etc.

Replit, une des plateformes citées par RedAccess, a réagi en disant que RedAccess les avait contactés à peine 24 h avant la publication des résultats. Amjad Massad de Replit a argumenté que ce n'est pas ainsi que fonctionne la recherche en sécurité. Il faut soumettre les résultats et accorder un délai pour réagir et combler les failles. Il précise qu'un des reproches contre la plateforme est que des apps n'auraient pas dû être accessibles publiquement. Il rappelle que les développeurs et les entreprises peuvent choisir un déploiement public ou privé sur la plateforme et que les paramètres de confidentialité peuvent être modifiés. WIRED a vérifié plusieurs web apps sans mettre en évidence de données sensibles.

La divulgation de RedAccess a sans doute été trop rapide pour laisser le temps aux plateformes de réagir ou aux développeurs de combler les failles. Les plateformes citées se défendent mais ne contestent pas les problèmes existants.

Source : https://www.wired.com/story/thousands-of-vibe-coded-apps-expose-corporate-and-personal-data-on-the-open-web/