Uma análise conduzida pelo cofundador da RedAccess, Dor Zvi, identificou mais de cinco mil aplicativos gerados por ferramentas de inteligência artificial sem medidas básicas de segurança ou autenticação.
Cerca de dois mil desses aplicativos expuseram informações confidenciais, como dados médicos, relatórios financeiros e estratégias corporativas. Registros de conversas de chatbots com nomes e contatos de clientes também foram encontrados acessíveis.
As plataformas analisadas incluem Lovable, Replit e Base44. A facilidade de uso dessas ferramentas permite que usuários sem conhecimento técnico criem aplicações vulneráveis, sem qualquer processo de revisão ou validação de segurança.
Alguns aplicativos concediam acesso irrestrito a informações de hospitais, empresas de publicidade e registros de carga de transportadoras. Em casos mais graves, as falhas permitiam a obtenção de privilégios administrativos e o controle total dos sistemas.
A plataforma Lovable também serviu de base para sites de phishing que imitavam grandes corporações, como Bank of America, Costco e McDonald’s. Esses endereços fraudulentos eram hospedados diretamente no domínio da ferramenta, ampliando o risco para usuários comuns.
Representantes da Lovable, da Replit e da Base44 afirmaram que as configurações de privacidade e segurança cabem aos próprios usuários. O CEO da Replit, Amjad Masad, declarou que aplicativos públicos são acessíveis por padrão, embora as configurações possam ser ajustadas.
A controladora da Base44, a Wix, informou que os usuários dispõem de ferramentas robustas para proteger suas aplicações. A empresa ressaltou que a desativação dessas proteções constitui uma escolha deliberada dos desenvolvedores.
O pesquisador de segurança Joel Margolis comparou a situação aos erros de configuração do serviço Amazon S3 observados no passado. Ele destacou que a falta de conhecimento técnico dos criadores e a ausência de salvaguardas automáticas nas ferramentas de IA agravam o problema.
Dor Zvi argumenta que o problema ultrapassa falhas pontuais nas plataformas e atinge o ambiente corporativo como um todo. Qualquer funcionário pode desenvolver aplicativos sem supervisão ou revisão, gerando potenciais vazamentos de dados, conforme reportagem da Wired.
📨 Inscreva-se na Newsletter de O Cafezinho
Receba nossas análises e as principais notícias diárias do Brasil e do Sul Global.
if(!email) { responses.innerHTML = "Por favor, insira um e-mail válido."; return; }
button.innerText = "Enviando..."; button.style.opacity = "0.7"; button.disabled = true; responses.innerHTML = "";
// Transforma a action nativa em endpoint JSONP e anexa os dados var formAction = this.action.replace('/post?', '/post-json?'); var formData = new FormData(this); var url = formAction;
for (var pair of formData.entries()) { url += "&" + encodeURIComponent(pair[0]) + "=" + encodeURIComponent(pair[1]); }
var script = document.createElement('script'); var callbackName = 'mailchimpCallback' + new Date().getTime(); window[callbackName] = function(data) { button.innerText = "ASSINAR"; button.style.opacity = "1"; button.disabled = false;
if (data.result === 'success') { responses.innerHTML = "✅ Inscrição confirmada com sucesso! Bem-vindo(a) ao O Cafezinho."; document.getElementById('mce-EMAIL-ajax').value = ''; } else { var msg = data.msg || ""; if(msg.includes('is already subscribed')) { msg = "⚠️ Este e-mail já está assinado na nossa newsletter."; } else if(msg.includes('too many')) { msg = "⚠️ Muitas tentativas. Tente novamente mais tarde."; } else if(msg.includes('domain')) { msg = "⚠️ O domínio do e-mail é inválido."; } else { msg = "⚠️ Erro: " + msg; } msg = msg.replace(/^[0-9]+\s-\s/, ''); responses.innerHTML = "" + msg + ""; } delete window[callbackName]; document.body.removeChild(script); };
url = url + '&c=' + callbackName; script.src = url; document.body.appendChild(script); });