Ein Scan von 380.000 mit KI gebauten Apps findet Tausende ohne jede Authentifizierung

Das Versprechen des Vibe-Coding lautet seit 2023 immer gleich — jede und jeder kann eine App bauen. Ein neuer Scan von RedAccess liefert erstmals einen Beleg. Von rund 380.000 Webanwendungen, die mit KI-Codierwerkzeugen erstellt und über Dienste wie Netlify ausgerollt wurden, hatten etwa 5.000 keinerlei Authentifizierung. Rund 40 Prozent dieser ungeschützten Apps lagerten sensible Daten — Nutzerinformationen, Gesprächsprotokolle, Zahlungsdaten, interne Zugangsdaten. Die Zahlen landeten in dieser Woche bei WIRED, Axios und Security Boulevard und beschreiben eine Fehlerkategorie, die die Branche seit zwei Jahren still vor sich her schiebt.

Die genannten Werkzeuge sind die Plattformen, die jede Nicht-Entwicklerin und jeder Nicht-Entwickler längst kennt. Lovable, Replit, Base44 und das breitere Ökosystem der „Bau-aus-dem-Prompt“-Tools verkaufen seit jeher dasselbe stillschweigende Versprechen — KI ersetzt nicht nur das Tippen von Code, sondern auch die Ingenieurin, die im Loop sein müsste. Prompt wählen, App entstehen sehen, über Netlify oder Vercel ausrollen, Link teilen. Was der Scan von RedAccess dokumentiert, ist das, was im stillen produktiv ging, ohne dass irgendjemand in dieser Kette gefragt hätte, ob die App ein Schloss braucht.

Die Schwachstellen sind nicht raffiniert. Die ungeschützten Apps brauchten keinen geschickten Angreifer — sie brauchten einen Browser. Viele rollten mit Supabase- oder Firebase-Schlüsseln aus, die direkt im Client-Bundle einbetteten, womit jede Interessierte die Datenbank lesen kann. Einige gewährten Schreibzugriff auf dieselbe Datenbank, sodass eine Fremde Nutzerdatensätze bearbeiten kann. Ein paar legten Admin-Endpunkte offen. Die Kategorie des Fehlers ist kein Zero-Day und kein falsch konfigurierter Grenzfall. Es ist das vollständige Fehlen der Sicherheitsschicht.

Das könnte Ihnen auch gefallenDas Suncatcher-Gambit: Googles Plan zur Eroberung der KI-Zukunft

Skepsis ist angebracht, denn der Reflex, die Werkzeuge verantwortlich zu machen, ist groß und nur teilweise zutreffend. Ein Junior-Entwickler, der dieselbe App ohne Aufsicht von Grund auf baute, würde Ähnliches abliefern. Der Unterschied ist die Menge. Vibe-Coding-Tools senken die Eintrittsschwelle weit genug, dass die Gesamtzahl der Apps, die von Menschen ausgerollt werden, die nicht eigenständig über Authentifizierung nachdenken können, explodiert ist. Die Tools können technisch ein Auth-Gerüst anbieten, der Standardfluss erzwingt es jedoch nicht — und die Nutzerinnen, die am meisten von diesen Werkzeugen profitieren, sind genau die, die am wenigsten ausgerüstet sind, das Fehlen zu bemerken. Lovable erklärt, an einem standardmäßigen Auth-Gerüst zu arbeiten. Replit verweist auf seine bestehenden Sicherheitsstandards und räumt zugleich ein, dass Nutzer sie deaktivieren können. Base44 hat sich öffentlich nicht geäußert. Die Plattformen reagieren — die Frage ist, ob die Reaktion schneller läuft als die Ausroll-Kurve.

Die strukturelle Lesart ist schwerer zu schlucken. Seit zwei Jahren verkauft die Branche das Entfernen der professionellen Prüfung aus der Auslieferungspipeline als Feature, nicht als Kosten. Die RedAccess-Daten zeigen, wie dieses Entfernen im Maßstab aussieht. Die Apps funktionieren für die Person, die sie gebaut hat — und sie funktionieren auch für alle anderen, die die URL finden. Die nächsten zwei Jahre werden vermutlich eine langsame Anhäufung solcher Vorfälle, bis Plattformen die Authentifizierung als Framework-Standard erzwingen oder Aufsichtsbehörden sie dazu zwingen. Beides kann eintreten. Das Produkthaftungsregime der Europäischen Union wird bereits darauf abgeklopft, ob es KI-generierte Software umfasst, und die Generalstaatsanwälte einzelner US-Bundesstaaten beginnen, um das Thema zu kreisen.

Was Nutzerinnen dieser Plattformen heute tun können, ist begrenzt. RedAccess hat Leitfäden zu den vier genannten Werkzeugen veröffentlicht — überprüfen, ob die App vor jedem Datenzugriff eine Anmeldung verlangt, die im Client-Bundle ausgelieferten Schlüssel auditieren, und davon ausgehen, dass jede einmal geteilte URL bereits von jemandem gescannt wird. Die Plattformen haben Besserung versprochen. Der Scan, der diese Geschichte geliefert hat, dauerte wenige Tage. Der nächste ist bereits in Vorbereitung.

Mehr davon

Motorolas neues Razr Ultra für 1.499 Dollar lädt einen ganzen Tag Akku in 8 Minuten

Eine strategische Allianz: „Talking Tom“ und „Miraculous“ starten plattformübergreifendes Crossover

Die Zähmung des Gruppenchats: Wie WhatsApp unser digitales Sozialleben gestaltet

iOS 26.5 verschlüsselt endlich Nachrichten zwischen iPhone und Android

Entdecken Sie die atemberaubende Welt von Tales of Kenzera: ZAU

Destiny 2 enthüllt Zusammenarbeit mit Lucasfilm Games in der Erweiterung Renegades