AIで作られたアプリ38万本をスキャン、数千本に認証が一切なかった

「誰でもアプリを作れる」──これがバイブ・コーディングの2023年以来のセールス文句だった。RedAccessによる新しいスキャンが、その文句に対する初めてのまっとうな領収書を突きつけた。AIコーディングツールで構築され、Netlifyのようなサービス経由で公開された約38万本のウェブアプリケーションのうち、およそ5,000本が認証を一切持たずに稼働していた。その無防備なアプリの約40パーセントが、ユーザー情報、会話ログ、決済情報、社内資格情報といった機微なデータを抱えていた。今週WIRED、Axios、Security Boulevardが揃って報じたこの数字は、業界が2年間にわたって静かに積み重ねてきた特定のカテゴリの失敗を描き出している。

名指しされた生成ツールは、いまや非開発者にもおなじみの顔ぶれだ。Lovable、Replit、Base44、そして「プロンプトから組む」系のツール群は同じ暗黙の約束を売ってきた。AIはコードを打ち込む手だけでなく、ループに居るべきエンジニア自身も置き換える、という約束だ。プロンプトを選び、アプリが立ち上がるのを眺め、NetlifyやVercel経由で本番に出し、URLを共有する。RedAccessのスキャンが記録しているのは、そのループの誰一人として「このアプリには鍵がいるのか」と問わないまま静かに本番に流れていったコードの群れである。

脆弱性は手の込んだものではない。無防備に晒されたアプリは、巧妙な攻撃者を必要としていない。必要なのはブラウザだ。多くは、SupabaseやFirebaseのキーをクライアントバンドルに直接埋め込んだ状態で出荷されており、興味を持った第三者がデータベースを読みに行ける。いくつかは同じデータベースへの書き込みアクセスまで許しており、見ず知らずの誰かが利用者のレコードを書き換えられる。管理用エンドポイントを露出させているケースもある。これはゼロデイでも、設定をしくじったエッジケースでもない。セキュリティ層そのものの不在である。

懐疑の余地は残しておきたい。ツールに責任を被せたい誘惑は強く、そして部分的にしか正しくない。同じアプリを監督なしでゼロから書く新人開発者も似たようなものを出荷するだろう。違うのは数だ。バイブ・コーディングのツールは入り口を十分に低くした結果、認証について自力で考え抜けない人々によって本番化されるアプリの総数が爆発的に増えた。ツールは技術的には認証スキャフォールディングを促すこともできるが、デフォルトのフローはそれを強制しない。そしてこの種のツールから最も恩恵を受けるユーザーこそ、認証が抜けていることに気づく装備が最も乏しい層である。Lovableはデフォルトでの認証スキャフォールディングに取り組んでいると述べている。Replitは既存のセキュリティ初期設定を挙げつつ、ユーザーが無効化できることも認めている。Base44は公にはコメントしていない。プラットフォーム側は反応している──問題はその反応が、デプロイの曲線よりも速く進めるかだ。

構造的な読み筋は、もっと飲み込みづらい。業界はこの2年間、本番投入のパイプラインから職業的レビューを取り除くことを、コストではなくフィーチャーとして売ってきた。RedAccessのデータが見せているのは、その「取り除き」がスケールしたときの姿だ。アプリは作った当人にとって動く。同じURLを見つけた誰かにとっても動く。今後2年は、こうしたインシデントが緩やかに積み上がる時間になる可能性が高い──プラットフォームがフレームワーク層で認証をデフォルトとして強制するか、あるいは規制当局がそれを強いるまで。両方が同時に起きてもおかしくない。欧州連合の製造物責任体制はすでに、AI生成ソフトウェアを射程に収めるかたちで読み直されつつあり、米国の州司法長官たちもこの領域の周辺を旋回し始めている。

これらのプラットフォームを使うユーザーが今日できることは限られる。RedAccessは名指しした4つのツールに向けてガイダンスを公開した。アプリがデータへのアクセス前にログインを必須としているかを確認すること、クライアントバンドルに同梱されているキーを監査すること、そして共有したURLはすでに誰かにスキャンされていると前提することである。プラットフォーム各社は改善を約束した。今回の話を生み出したスキャンは数日で終わっている。次のスキャンはもう計画段階にある。