Các công cụ vibe coding đang làm rò rỉ lượng lớn dữ liệu cá nhân và doanh nghiệp. Gần đây, các nhà nghiên cứu từ công ty khởi nghiệp an ninh mạng của Israel RedAccess, khi nghiên cứu xu hướng “AI bóng tối” (shadow AI), đã phát hiện ra rằng các công cụ AI được các nhà phát triển sử dụng để phát triển phần mềm nhanh chóng đã khiến các hồ sơ y tế, dữ liệu tài chính và tài liệu nội bộ của các công ty trong danh sách Fortune 500 bị rò rỉ ra mạng mở.
CEO của RedAccess, Dor Zvi, cho biết các nhà nghiên cứu đã phát hiện khoảng 380.000 ứng dụng và tài sản có thể truy cập công khai, tất cả đều được các nhà phát triển tạo ra bằng các công cụ như Lovable, Base44, Netlify và Replit, trong đó khoảng 5.000 ứng dụng chứa thông tin doanh nghiệp nhạy cảm, nhưng gần 2.000 ứng dụng sau khi kiểm tra kỹ hơn dường như đã phơi bày dữ liệu riêng tư. Axios đã xác minh độc lập nhiều ứng dụng bị lộ, và WIRED cũng xác nhận riêng biệt những phát hiện này.
40% ứng dụng mã hóa AI tiết lộ dữ liệu nhạy cảm,
Ngay cả quyền quản trị viên
Khi AI ngày càng tiếp quản công việc của các lập trình viên hiện đại, lĩnh vực an ninh mạng đã cảnh báo từ lâu: các công cụ mã hóa tự động chắc chắn sẽ đưa vào phần mềm một lượng lớn lỗ hổng có thể bị khai thác. Tuy nhiên, khi những công cụ vibe coding này cho phép bất kỳ ai chỉ cần một cú nhấp chuột để tạo và triển khai ứng dụng trên web, vấn đề không còn chỉ là lỗ hổng nữa, mà là gần như không có bất kỳ biện pháp bảo mật nào, bao gồm cả dữ liệu doanh nghiệp và cá nhân cực kỳ nhạy cảm.
Theo thông tin thu thập, đội ngũ RedAccess đã phân tích hàng ngàn ứng dụng web được tạo ra bằng các công cụ phát triển phần mềm AI như Lovable, Replit, Base44 và Netlify, và phát hiện hơn 5.000 ứng dụng gần như không có bất kỳ cơ chế bảo mật hoặc xác thực nào. Nhiều ứng dụng web như vậy có thể được truy cập trực tiếp cùng với dữ liệu của chúng chỉ cần ai đó có được URL. Một số khác dù có đặt rào cản nhưng lại cực kỳ đơn giản, ví dụ như chỉ cần đăng ký bằng bất kỳ địa chỉ email nào để truy cập.
Trong số 5.000 ứng dụng mã hóa AI mà bất kỳ ai cũng có thể truy cập chỉ bằng cách nhập URL vào trình duyệt, Zvi phát hiện gần 2.000 ứng dụng khi kiểm tra kỹ hơn dường như đã tiết lộ dữ liệu riêng tư. Zvi cho biết khoảng 40% các ứng dụng này đã phơi bày dữ liệu nhạy cảm, bao gồm thông tin y tế, dữ liệu tài chính, bài thuyết trình doanh nghiệp và tài liệu chiến lược, cũng như hồ sơ chi tiết về các cuộc hội thoại của người dùng với chatbot.
Hình ảnh chụp màn hình ứng dụng web mà anh ấy chia sẻ (một số đã được xác minh vẫn đang trực tuyến và ở trạng thái bị lộ) cho thấy bao gồm thông tin phân công công việc của một bệnh viện (chứa thông tin nhận dạng cá nhân của bác sĩ), dữ liệu mua quảng cáo chi tiết của một công ty, bản trình bày chiến lược gia nhập thị trường của một công ty khác, hồ sơ cuộc trò chuyện đầy đủ của chatbot từ một nhà bán lẻ (bao gồm tên đầy đủ và thông tin liên hệ của khách hàng), hồ sơ vận chuyển của một công ty vận tải, cùng nhiều loại dữ liệu bán hàng và tài chính từ nhiều công ty khác nhau. Zvi cũng cho biết, trong một số trường hợp, các ứng dụng bị lộ này thậm chí có thể cho phép anh ấy giành quyền quản trị hệ thống, thậm chí xóa các quản trị viên khác.
Zvi cho biết, RedAccess rất dễ dàng trong việc tìm kiếm các ứng dụng web có lỗ hổng. Lovable, Replit, Base44 và Netlify đều cho phép người dùng lưu trữ ứng dụng web trên các miền riêng của những công ty AI này, thay vì dùng miền của chính người dùng. Do đó, các nhà nghiên cứu chỉ cần thực hiện các tìm kiếm đơn giản trên Google và Bing bằng cách kết hợp các miền của những công ty này với các từ khóa khác để xác định hàng ngàn ứng dụng được phát triển bằng công cụ vibe coding.
Trong trường hợp của Lovable, Zvi còn phát hiện ra rất nhiều trang web lừa đảo giả mạo các doanh nghiệp lớn, những trang web này dường như được tạo và lưu trữ trên các miền của Lovable bằng công cụ mã hóa AI, bao gồm các thương hiệu như Bank of America, Costco, FedEx, Trader Joe’s và McDonald’s. Zvi cũng chỉ ra rằng 5.000 ứng dụng bị lộ mà Red Access phát hiện chỉ được lưu trữ trên chính miền của công cụ mã hóa AI, thực tế có thể còn hàng ngàn ứng dụng khác được lưu trữ trên các miền do người dùng tự mua.
Nhà nghiên cứu bảo mật Joel Margolis chỉ ra rằng, việc xác minh liệu một ứng dụng web mã hóa AI không được bảo vệ có thực sự phơi bày dữ liệu thật hay không không hề dễ dàng. Anh và đồng nghiệp trước đây từng phát hiện một món đồ chơi trò chuyện AI đã phơi bày 50.000 bản ghi cuộc hội thoại với trẻ em trên một trang web gần như không có biện pháp bảo mật nào. Anh cho rằng, dữ liệu trong các ứng dụng vibe coding có thể chỉ là các placeholder, hoặc ứng dụng đó chỉ là một bản chứng minh khái niệm (POC). Brodie của Wix cũng cho rằng, hai ví dụ được cung cấp cho Base44 trông giống như các trang thử nghiệm hoặc chứa dữ liệu do AI tạo ra.
Tuy nhiên, Margolis cho rằng vấn đề lộ dữ liệu do các ứng dụng web được xây dựng bởi AI là hoàn toàn thực tế. Ông cho biết mình thường xuyên gặp phải những tình huống lộ dữ liệu như Zvi đã mô tả. “Có ai đó trong đội ngũ marketing muốn tạo một trang web, nhưng họ không phải là kỹ sư và có thể gần như không có kiến thức hay nền tảng về bảo mật,” ông chỉ ra. Các công cụ mã hóa AI sẽ thực hiện đúng những gì bạn yêu cầu, nhưng nếu bạn không yêu cầu chúng thực hiện theo cách an toàn, thì chúng sẽ không tự động làm như vậy.
People can create freely
Nhưng cài đặt mặc định đã gặp sự cố
Chưa đầy hai tuần trước khi RedAccess công bố nghiên cứu của mình, một sự kiện khác đã xảy ra: Cursor chạy mô hình Claude Opus 4.6 đã xóa toàn bộ cơ sở dữ liệu sản xuất và tất cả các bản sao lưu cấp volume của PocketOS trong vòng 9 giây thông qua một lệnh gọi API đến nhà cung cấp hạ tầng Railway.
Zvi thẳng thắn cho rằng, “Mọi người có thể tự do tạo ra một thứ gì đó và ngay lập tức sử dụng nó trong môi trường sản xuất, đại diện cho công ty sử dụng, thậm chí không cần bất kỳ sự cho phép nào, hành vi này gần như không có giới hạn. Tôi không nghĩ rằng có thể khiến cả thế giới chấp nhận giáo dục về an toàn.” Ông còn bổ sung rằng mẹ của ông cũng đang dùng Lovable để thực hiện vibe coding, “nhưng tôi không nghĩ bà ấy sẽ cân nhắc đến kiểm soát truy cập theo vai trò.”
Các nhà nghiên cứu của RedAccess phát hiện rằng, cài đặt quyền riêng tư trên nhiều nền tảng vibe coding mặc định để ứng dụng ở chế độ công khai, trừ khi người dùng tự động thay đổi thành riêng tư. Nhiều ứng dụng như vậy còn bị các công cụ tìm kiếm như Google lập chỉ mục, khiến bất kỳ ai上网 đều có thể vô tình truy cập vào chúng.
Zvi cho rằng, các công cụ phát triển ứng dụng web AI ngày nay đang tạo ra làn sóng mới về việc lộ dữ liệu, do sự kết hợp giữa lỗi của người dùng và bảo mật không đầy đủ. Tuy nhiên, vấn đề cơ bản hơn so với các lỗ hổng bảo mật cụ thể là những công cụ này cho phép một nhóm người hoàn toàn mới trong tổ chức tạo ra các ứng dụng—những người thường thiếu nhận thức về bảo mật và bỏ qua các quy trình phát triển phần mềm và cơ chế kiểm tra bảo mật trước khi triển khai vốn đã tồn tại trong doanh nghiệp.
“Bất kỳ ai trong công ty cũng có thể tạo ra một ứng dụng bất cứ lúc nào, hoàn toàn không cần thông qua bất kỳ quy trình phát triển hay kiểm tra an toàn nào; mọi người có thể trực tiếp triển khai nó vào môi trường sản xuất mà không cần hỏi ý kiến bất kỳ ai. Và họ thực sự đã làm như vậy,” Zvi nói. “Kết quả cuối cùng là, các doanh nghiệp thực chất đang rò rỉ dữ liệu bí mật thông qua các ứng dụng vibe coding — đây là một trong những sự kiện lớn nhất từ trước đến nay, khi mọi người phơi bày thông tin doanh nghiệp hoặc các dữ liệu nhạy cảm khác cho bất kỳ ai trên toàn thế giới.”
Tháng 10 năm ngoái, Escape.tech đã quét 5.600 ứng dụng vibe coding công khai và phát hiện hơn 2.000 ứng dụng chứa lỗ hổng nghiêm trọng, hơn 400 trường hợp tiết lộ thông tin nhạy cảm (bao gồm khóa API và mã truy cập), cùng 175 vụ rò rỉ dữ liệu cá nhân (bao gồm hồ sơ y tế và thông tin tài khoản ngân hàng). Tất cả các lỗ hổng mà Escape phát hiện đều tồn tại trong các hệ thống sản xuất thực tế và có thể được phát hiện trong vòng vài giờ. Tháng 3 năm nay, công ty đã hoàn thành vòng gọi vốn A trị giá 18 triệu đô la Mỹ do Balderton dẫn đầu, với một trong những lý do đầu tư cốt lõi là khoảng trống bảo mật do mã do AI tạo ra gây ra.
Gartner trong báo cáo “Dự đoán năm 2026” chỉ ra rằng đến năm 2028, phương pháp prompt-to-app (tạo ứng dụng từ lời nhắc) được các “nhà phát triển công dân” áp dụng sẽ làm tăng số lượng lỗi phần mềm lên 2.500%. Gartner cho rằng một đặc điểm mới lớn của các lỗi này là mã do AI tạo ra về mặt cú pháp là chính xác, nhưng thiếu hiểu biết về kiến trúc hệ thống tổng thể và các quy tắc kinh doanh phức tạp. Chi phí sửa chữa những “lỗi ngữ cảnh sâu” này sẽ làm xói mòn ngân sách vốn dành cho sự đổi mới.
Phản hồi và phản bác từ các nền tảng
Hiện tại, ba công ty mã hóa AI đã phản bác tuyên bố của các nhà nghiên cứu RedAccess, cho rằng thông tin mà phía này chia sẻ không đầy đủ và không cung cấp đủ thời gian để phản hồi. Tuy nhiên, Zvi cho biết, đối với hàng chục ứng dụng web bị lộ, họ đã chủ động liên hệ với những chủ sở hữu nghi ngờ của các ứng dụng này. Các nhà quản lý cấp cao của các công ty đều cho biết họ nghiêm túc tiếp nhận các báo cáo như vậy, đồng thời nhấn mạnh rằng việc các ứng dụng này có thể truy cập công khai không nhất thiết đồng nghĩa với việc có rò rỉ dữ liệu hoặc lỗ hổng bảo mật. Tuy nhiên, các công ty này cũng không phủ nhận rằng các ứng dụng web do RedAccess phát hiện thực sự đang ở trạng thái bị lộ công khai.
CEO của Replit, Amjad Masad, cho biết RedAccess chỉ cho họ 24 giờ để phản hồi trước khi công bố thông tin. Trong phản hồi trên X, anh viết: “Dựa trên thông tin hạn chế mà họ chia sẻ, cáo buộc cốt lõi của RedAccess dường như là: một số người dùng đã đăng các ứng dụng vốn nên là riêng tư lên internet công khai, trong khi Replit cho phép người dùng tự chọn ứng dụng là công khai hay riêng tư. Các ứng dụng công khai có thể được truy cập trên internet — đây là hành vi mong đợi. Cài đặt quyền riêng tư cũng có thể được thay đổi bất kỳ lúc nào chỉ với một cú nhấp chuột. Nếu RedAccess chia sẻ danh sách người dùng bị ảnh hưởng, chúng tôi sẽ chủ động thiết lập các ứng dụng này thành riêng tư mặc định và thông báo trực tiếp đến người dùng.”
Một phát ngôn viên của Lovable đã phản hồi trong một tuyên bố: “Lovable rất coi trọng các báo cáo về việc lộ dữ liệu và các trang lừa đảo, chúng tôi đang tích cực thu thập thông tin cần thiết để tiến hành điều tra. Vấn đề này hiện vẫn đang được xử lý. Đồng thời, cần lưu ý rằng Lovable cung cấp các công cụ an toàn để các nhà phát triển xây dựng ứng dụng, nhưng trách nhiệm cuối cùng về cách cấu hình ứng dụng thuộc về chính người tạo ra nó.”
Trong CVE-2025-48757 đã được công bố trước đó, ghi nhận vấn đề về chính sách bảo mật cấp hàng (Row-Level Security) không đầy đủ hoặc hoàn toàn thiếu hụt trong các dự án Supabase do Lovable tạo ra. Một số truy vấn hoàn toàn bỏ qua kiểm tra kiểm soát truy cập, dẫn đến việc dữ liệu của hơn 170 ứng dụng sản xuất bị lộ. AI đã tạo ra lớp cơ sở dữ liệu nhưng không tạo ra các chính sách bảo mật nhằm giới hạn truy cập dữ liệu. Lovable đã phản đối việc phân loại CVE này, cho rằng việc bảo vệ dữ liệu ứng dụng là trách nhiệm của chính khách hàng.
Blake Brodie, người phụ trách truyền thông của công ty mẹ Wix của Base44, cho biết trong tuyên bố: “Base44 cung cấp cho người dùng các công cụ mạnh mẽ để cấu hình bảo mật ứng dụng của họ, bao gồm các cài đặt kiểm soát truy cập và khả năng hiển thị.” Cô bổ sung: “Việc tắt các kiểm soát này là một thao tác có chủ ý và đơn giản, bất kỳ người dùng nào cũng có thể thực hiện. Nếu ứng dụng có thể truy cập công khai, điều đó phản ánh lựa chọn cấu hình của người dùng, chứ không phải lỗ hổng nền tảng.”
Brodie cũng chỉ ra: “Việc tạo ra các ứng dụng giả mạo trông giống như chứa dữ liệu người dùng thật rất dễ dàng. Trong khi không cung cấp bất kỳ trường hợp nào đã được xác minh, chúng tôi không thể đánh giá tính xác thực của những cáo buộc này.” Đáp lại, RedAccess phản bác rằng họ đã cung cấp các ví dụ liên quan cho Base44. RedAccess còn chia sẻ một số bản ghi liên lạc ẩn danh cho thấy người dùng Base44 đã cảm ơn các nhà nghiên cứu vì đã cảnh báo về vấn đề lộ thông tin trong ứng dụng, sau đó các ứng dụng này đã được củng cố hoặc gỡ bỏ.
Theo thông tin được biết, Wiz Research đã độc lập phát hiện vào tháng 7 năm ngoái rằng Base44 có một lỗ hổng vượt qua xác thực ở cấp độ nền tảng. Giao diện API bị lộ cho phép bất kỳ ai chỉ cần một app_id có thể xem công khai để tạo “tài khoản đã xác minh” trong các ứng dụng riêng tư. Lỗ hổng này tương đương với: đứng trước cửa một tòa nhà bị khóa, chỉ cần hét lên một số phòng là cửa sẽ tự động mở. Wix đã vá lỗ hổng này trong vòng 24 giờ sau khi nhận báo cáo từ Wiz, nhưng sự kiện này phơi bày một vấn đề: trên các nền tảng này, hàng triệu ứng dụng được người dùng tạo ra, và người dùng thường mặc định rằng nền tảng đã tự xử lý các vấn đề bảo mật cho họ, trong khi cơ chế xác thực thực tế lại rất yếu.
Liên kết tham khảo:
https://www.wired.com/story/thousands-of-vibe-coded-apps-expose-corporate-and-personal-data-on-the-open-web/
https://www.axios.com/2026/05/07/loveable-replit-vibe-coding-privacy
https://venturebeat.com/security/vibe-coded-apps-shadow-ai-s3-bucket-crisis-ciso-audit-framework
Bài viết này đến từ tài khoản chính thức WeChat "AI Tiền tuyến" (ID: ai-front), tác giả: Hoa Vệ