Mii de aplicații construite cu inteligență artificială prin metoda «vibe-coding» - adică tu descrii ce vrei, AI-ul construiește - lasă date corporative și personale complet expuse pe internetul public. Nu vorbim de hackeri sofisticați sau de vulnerabilități ascunse. Vorbim de uși lăsate deschise de oameni care nu știau că există uși.

Conform unei investigații publicate de Wired, platformele de vibe-coding precum Lovable, Base44, Replit și Bolt.new au permis utilizatorilor să genereze aplicații web funcționale în câteva secunde, fără nicio cunoaștere tehnică anterioară. Rezultatul? Mii de aplicații care rulează pe internet cu baze de date accesibile public, chei API expuse în cod sursă vizibil și panouri de administrare fără parolă.

Wired a documentat cazuri concrete: aplicații interne ale unor companii care stocau date ale clienților, formulare medicale cu informații personale, sisteme de management al comenzilor - toate accesibile oricui știa unde să caute. În unele cazuri, nici măcar nu trebuia să cauți: datele apăreau indexate direct în motoarele de căutare.

Problema nu este neapărat platforma în sine, ci modelul de utilizare. Vibe-coding promite democratizarea tehnologiei - și o livrează. Dar democratizarea fără educație despre securitate înseamnă că milioane de utilizatori fără background tehnic construiesc acum infrastructură digitală reală, cu date reale, fără să înțeleagă concepte de bază precum autentificarea, regulile de acces sau criptarea datelor în repaus.

Lovable, una dintre platformele menționate de Wired, a declarat că a implementat funcții de avertizare pentru utilizatori și că lucrează la îmbunătățirea setărilor implicite de securitate. Problema implicită este exact aceasta: setările «out of the box» ale multor platforme de vibe-coding prioritizează viteza și simplitatea față de securitate - ceea ce are sens pentru un prototip, dar devine periculos când același proiect ajunge în producție.

Fenomenul nu e nou în istoria tehnologiei. La începuturile WordPress-ului, milioane de site-uri rulau cu setări implicite vulnerabile. Când aplicațiile mobile au explodat după 2008, o generație întreagă de dezvoltatori amatori a creat aplicații care colectau date fără consimțământ sau le stocau necriptat. De fiecare dată când o barieră tehnologică cade, urmează o perioadă de haos înainte ca bunele practici să devină normă.

Vibe-coding accelerează dramatic această curbă. Dacă înainte era nevoie de luni să construiești o aplicație vulnerabilă, acum o poți face în 30 de minute. Viteza cu care cresc volumele de aplicații expuse depășește orice capacitate de audit sau reglementare.

Pentru utilizatorii obișnuiți, riscul este dublu. Pe de o parte, dacă folosești o aplicație construită de cineva cu vibe-coding - un tool intern al companiei, un formular de înregistrare, o platformă de comenzi - datele tale pot fi expuse fără ca nimeni să știe. Pe de altă parte, dacă tu ești cel care construiește, poți deveni răspunzător legal pentru o breșă de date generată din necunoaștere, în funcție de jurisdicție și tipul datelor procesate.

În Europa, GDPR transformă această neglijență în risc financiar real - amenzile pentru expunerea neintenționată a datelor personale pot ajunge la procente semnificative din cifra de afaceri.

Rămâne de văzut dacă platformele de vibe-coding vor introduce verificări automate de securitate înainte ca aplicația să fie publicată, sau dacă presiunea de reglementare va forța schimbări mai profunde. Până atunci, regula simplă rămâne: dacă nu înțelegi cum funcționează securitatea unei aplicații pe care o construiești cu AI, s-ar putea ca datele din ea să nu fie ale tale.