/data/photo/2026/03/13/69b3bd612cb83.jpg)
Ribuan Aplikasi Vibe-Coded Bocorkan Data Sensitif Perusahaan dan Pribadi di Internet Terbuka
Seiring dengan semakin dominannya kecerdasan buatan (AI) dalam menggantikan pekerjaan pemrogram modern, dunia keamanan siber memberikan peringatan bahwa alat pengkodean otomatis ini berpotensi memperkenalkan banyak bug yang rentan diretas ke dalam perangkat lunak. Namun, ketika alat-alat vibe-coding ini memungkinkan siapa saja membuat aplikasi web dalam hitungan detik, dampak keamanannya ternyata tidak sekadar bug, melainkan keamanan yang hampir sama sekali tidak ada — termasuk untuk data perusahaan dan pribadi yang sangat sensitif.
Peneliti keamanan Dor Zvi bersama timnya di perusahaan keamanan siber RedAccess menganalisis ribuan aplikasi web vibe-coded yang dibuat menggunakan alat pengembangan AI populer seperti Lovable, Replit, Base44, dan Netlify. Mereka menemukan lebih dari 5.000 aplikasi yang hampir tanpa perlindungan keamanan atau autentikasi. Banyak aplikasi ini memungkinkan siapa saja yang menemukan URL-nya untuk mengakses isi aplikasi dan datanya tanpa hambatan. Beberapa lainnya hanya menawarkan penghalang sederhana, seperti mengharuskan pengguna masuk dengan alamat email apa pun.
Sekitar 40 persen aplikasi tersebut mengekspos data sensitif, menurut Zvi, termasuk informasi medis, data keuangan, presentasi dan dokumen strategi perusahaan, hingga log percakapan pelanggan dengan chatbot.
"Hasil akhirnya adalah organisasi-organisasi benar-benar membocorkan data pribadi melalui aplikasi vibe-coding,"ujar Zvi.
"Ini adalah salah satu kejadian terbesar di mana orang-orang membocorkan informasi perusahaan atau informasi sensitif lain ke publik secara bebas."
Bagaimana Penelitian Menemukan Kebocoran Data Ini
Zvi menjelaskan bahwa pencarian aplikasi web yang rentan ini sangat mudah dilakukan. Lovable, Replit, Base44, dan Netlify memungkinkan pengguna untuk meng-host aplikasi mereka di domain perusahaan AI tersebut, bukan di domain yang dibeli pengguna sendiri. Dengan memanfaatkan mesin pencari Google dan Bing, tim RedAccess mencari kombinasi domain perusahaan AI ini dan kata kunci lainnya untuk mengidentifikasi ribuan aplikasi vibe-coded yang dibiarkan terbuka di internet.
Dari sekitar 5.000 aplikasi AI-coded yang dapat diakses publik hanya dengan mengetik URL, sekitar 2.000 ditemukan mengandung data pribadi sensitif. Dalam screenshot yang dibagikan Zvi ke WIRED dan diverifikasi masih online, terlihat contoh data seperti:
- Penugasan kerja rumah sakit dengan data pribadi dokter
- Informasi pembelian iklan perusahaan secara rinci
- Presentasi strategi pemasaran sebuah perusahaan
- Log lengkap percakapan chatbot retailer dengan nama dan kontak pelanggan
- Rekaman kargo perusahaan pengiriman
- Catatan penjualan dan keuangan berbagai perusahaan lain
Dalam beberapa kasus, aplikasi yang terekspos memberikan akses administratif yang memungkinkan pengambilalihan kontrol sistem, termasuk menghapus administrator lain.
Risiko Phishing dan Tanggapan Perusahaan AI
Dalam kasus Lovable, Zvi juga menemukan contoh situs phishing yang meniru perusahaan besar seperti Bank of America, Costco, FedEx, Trader Joe’s, dan McDonald’s yang dibuat dengan alat AI tersebut dan di-host di domain Lovable.
Ketika WIRED meminta tanggapan dari keempat perusahaan AI coding ini terkait temuan RedAccess, hanya Netlify yang tidak memberikan respons. Tiga lainnya membela diri dengan menyatakan bahwa mereka belum diberi cukup waktu dan rincian temuan untuk merespons. Namun, mereka tidak menyangkal bahwa aplikasi yang ditemukan memang dibiarkan terbuka untuk umum.
CEO Replit, Amjad Masad, menulis di X bahwa:"Replit memungkinkan pengguna memilih apakah aplikasi bersifat publik atau privat. Aplikasi publik dapat diakses di internet adalah perilaku yang diharapkan. Pengaturan privasi dapat diubah kapan saja dengan sekali klik."
Juru bicara Lovable menyatakan, "Lovable menangani laporan data yang terekspos dan situs phishing dengan serius, dan kami sedang aktif mengumpulkan data untuk penyelidikan. Kami menyediakan alat yang memungkinkan pembangun untuk membangun secara aman, namun konfigurasi aplikasi adalah tanggung jawab pembuatnya."
Sementara itu, Blake Brodie dari Base44 (bagian dari Wix) menyampaikan bahwa:
"Base44 menyediakan alat yang kuat untuk mengatur keamanan aplikasi, termasuk kontrol akses dan pengaturan visibilitas. Menonaktifkan kontrol tersebut adalah tindakan sengaja yang bisa dilakukan siapa saja. Bila aplikasi dapat diakses publik, itu adalah pilihan konfigurasi pengguna, bukan kelemahan platform."
Namun, Brodie juga menyatakan skeptis terhadap klaim RedAccess tanpa bukti konkret, meski RedAccess menegaskan sudah memberikan contoh kepada Base44.
Kesulitan Verifikasi dan Dampak Sebenarnya
Joel Margolis, peneliti keamanan lain yang mengungkap kasus kebocoran data AI chatbot mainan anak, menyatakan bahwa memverifikasi apakah data dalam aplikasi vibe-coded benar-benar nyata dan sensitif bukan hal mudah. Beberapa aplikasi mungkin hanya contoh atau data placeholder yang dihasilkan AI.
Meski demikian, Margolis menegaskan bahwa masalah aplikasi AI yang mengekspos data memang nyata dan sering ditemui. Banyak aplikasi dibuat oleh orang tanpa latar belakang teknis atau keamanan, seperti tim pemasaran yang hanya ingin membuat situs sederhana. Alat AI coding akan melakukan apa yang diperintahkan tanpa memastikan keamanan secara otomatis.
Zvi juga menekankan bahwa 5.000 aplikasi yang ditemukan hanyalah yang dibiarkan terbuka di domain perusahaan AI. Ribuan aplikasi lain kemungkinan besar ada di domain pengguna sendiri yang juga berpotensi bocor. Ia membandingkan fenomena ini dengan kasus kebocoran data akibat pengaturan keamanan Amazon S3 yang pernah melanda banyak perusahaan besar seperti Verizon dan World Wrestling Entertainment.
Menurut Zvi, gelombang kebocoran data dari aplikasi vibe-coded ini merupakan kombinasi antara kesalahan pengguna dan kurangnya pengamanan dari penyedia platform. Namun yang lebih mendasar adalah kemudahan siapa saja dalam organisasi membuat aplikasi tanpa melalui proses pengembangan dan pemeriksaan keamanan standar. Ini membuka risiko besar bagi perusahaan.
"Siapa saja dalam perusahaan bisa saja langsung membuat aplikasi dan menggunakannya tanpa melalui siklus pengembangan atau pemeriksaan keamanan,"kata Zvi.
"Mereka bisa langsung menjalankan aplikasi itu dalam produksi tanpa izin siapa pun. Dan mereka memang melakukannya."
Analisis Redaksi
Menurut pandangan redaksi, temuan ini menandai ancaman serius baru dalam lanskap keamanan siber yang semakin dipengaruhi AI. Alat pengkodean otomatis yang memudahkan siapa saja membuat aplikasi web tanpa pengetahuan keamanan justru membuka pintu kebocoran data yang sangat besar. Ini bukan hanya masalah teknis, tetapi juga budaya dan prosedural di perusahaan.
Banyak organisasi belum siap menghadapi fenomena shadow IT yang diperparah oleh kemudahan alat AI coding. Aplikasi dibuat dan digunakan tanpa kontrol yang memadai, melewati proses audit keamanan dan kepatuhan. Akibatnya, informasi penting dan data pelanggan bisa tersebar luas tanpa disadari.
Ke depan, penting bagi penyedia alat AI coding untuk menerapkan pengamanan default yang kuat dan edukasi pengguna tentang risiko keamanan. Perusahaan juga harus memperketat kebijakan penggunaan aplikasi internal dan melakukan pemantauan aktif terhadap aplikasi-aplikasi baru yang dibuat di luar jalur resmi.
Untuk pembaca, waspadai risiko dari aplikasi baru yang mudah dibuat dan dipublikasikan, terutama yang dibuat tanpa keterlibatan tim TI. Terus ikuti perkembangan keamanan siber terkait AI karena ini akan menjadi isu krusial di masa mendatang.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
