詳細を読む
イスラエルのサイバーセキュリティ企業RedAccessは、Lovable・Base44・Replitなどのバイブコーディングツールで構築された38万件の公開アクセス可能なアプリケーション・データベース・関連インフラを発見しました。このうち約5,000件(1.3%)に企業の機密情報が含まれていたことが判明しています。AxiosとWiredがそれぞれ独立して調査結果を検証しました。
露出が確認されたデータには、船舶の入港予定を詳述した海運会社のアプリ、英国の臨床試験一覧を含む医療企業の内部アプリ、ブラジルの銀行の財務情報などが含まれます。さらに小児長期ケア施設の患者会話記録や病院の医師・患者面談要約も公開状態でした。これらはHIPAA、UK GDPR、ブラジルLGPDなどの規制上の報告義務に抵触する可能性があります。
問題の根本は、バイブコーディング基盤のデフォルト設定が「公開」になっている点にあります。ユーザーが手動で非公開に切り替えない限り、アプリはGoogleにインデックスされ誰でもアクセスできます。2025年10月にはEscape.techが5,600件のバイブコーディングアプリを調査し、2,000件超の重大な脆弱性と400件超のAPIキー・アクセストークンの露出を発見していました。
IBMの2025年データ侵害コストレポートによれば、組織の20%がシャドーAIに起因する侵害を経験し、平均コストは463万ドルに達しました。AI関連侵害を報告した組織の97%が適切なアクセス制御を欠いており、63%にはAIガバナンスポリシー自体が存在しませんでした。バイブコーディングによる露出は、シャドーAIの本番環境における実害そのものです。
セキュリティチームへの提言として、RedAccessの調査結果はDNSおよび証明書透過性スキャンによるバイブコーディング基盤の資産発見、デプロイ前のセキュリティレビュー義務化、既存AppSecパイプラインの市民開発者向けアプリへの拡張、DLPルールへの対象ドメイン追加を推奨しています。従来の資産管理ツールでは検出できない新たな脅威に対し、早急な対応が求められます。