ИИ платформи за изграждане на приложения създават уязвим код

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Нов доклад показва, че Lovable, Base44 и Bolt генерират приложения с критични пропуски, дори когато потребителите изискват „сигурен код“

Акценти:

  • ИИ платформите за разработка на приложения бележат огромен растеж, но тестове разкриват опасни пропуски в сигурността на генерирания код

  • OX Security установява, че вградените „security scans“ засичат уязвимости само в 66% от случаите или изобщо не ги откриват

  • Всички тествани платформи генерират приложения, уязвими към XSS атаки

  • Опасността произтича от логиката на рамките (framework logic), а не от конкретни функции, поискани от потребителите

  • Масовото навлизане на ИИ кодери може да умножи броя на несигурните уеб приложения

ИИ разработчиците на приложения растат стремглаво, но на цената на сигурността

Разработчиците на приложения, базирани на ИИ, преживяват експлозивен ръст. Lovable привлече 200 млн. долара при оценка от 1.8 млрд. само осем месеца след старта си. Base44 беше придобита от Wix за 80 млн., а Bolt набра 105.5 млн. долара през януари 2025 г.

Дори изпълнителният директор на Nvidia, Дженсън Хуанг, заяви пред CNBC: „Обожавам Lovable!“, като подчерта, че всички инженери на NVIDIA вече използват ИИ инструменти за писане на код.

Но паралелно с този ръст се засилват и тревогите. Нов тест на OX Security показва, че ИИ платформите често генерират несигурен, лесно експлоатиран код, дори при изрично искане за „secure“ решения.

Тестовете: опасни XSS уязвимости във всички платформи

OX Security поиска от трите платформи – Lovable, Base44 и Bolt.new – да създадат уики приложение с HTML редактор.

Резултатът:

  • и трите системи генерираха уеб приложение, което съхранява и визуализира потребителски вход без филтриране,

  • това води до критична Stored XSS уязвимост,

  • нападател може да вмъкне зловреден HTML, да открадне сесии и данни, или да поеме контрол над акаунтите.

Дори при повторно изискване кодът да бъде „сигурен“, платформите отново не премахват уязвимостите.
Едва когато изследователите детайлно обясняват конкретните защитни стъпки, ИИ започва частично да коригира кода.

Проблемът е в самата рамка, а не в потребителските изисквания

Докладът посочва, че не функционалностите, поискани от потребителя, са проблемни. Пропуските идват от самата logics/framework структура, която ИИ използва при генериране на приложения.

Това означава, че:

  • дори потребителят да не поиска рискована функция,

  • платформата може да вгради уязвим компонент по подразбиране,

  • а след това да го маркира като „Security Check: Passed“, създавайки фалшиво чувство за сигурност.

Сканиращите механизми в платформите показват ниска ефективност:

  • Lovable засича проблеми само в 66% от случаите,

  • Bolt не открива уязвимостта изобщо.

Масови рискове: лесно създаване на приложения означава лесно разпространение на уязвимости

ИИ платформите правят създаването на уеб приложения изключително лесно, което привлича:

  • маркетинг екипи

  • създатели без технически познания

  • малки бизнеси

  • фрийлансъри

Но именно тези групи са най-малко подготвени да разбират сигурността. Те са и най-склонни да се доверят на зелени индикатори като „Security Passed“, които може да са неточни или подвеждащи.

Така ИИ платформите могат неволно да:

  • разпространят голям брой уязвими приложения,

  • създадат нови входни точки за хакери,

  • увеличат риска за корпоративни и публични среди.

Позицията на разработчиците: „Проблемът е в конкретното приложение, не в платформата“

Компаниите зад Lovable, Base44 и Bolt оспорват част от заключенията. В отговор Lovable заявява:

„След преглед не виждаме значимо въздействие върху сигурността. Това е приложение, генерирано от Lovable – всяка грешна конфигурация е извън обхвата на нашата програма.“

Тази позиция подсказва, че според тях отговорността е върху конкретната имплементация, а не върху платформената логика.

Докладът на OX Security ясно показва, че ИИ генераторите на приложения имат сериозни недостатъци в сигурността. Нарастващото им използване може да доведе до вълна от уязвими приложения, създадени от хора без опит в сигурността и с прекомерно доверие към „автоматичните проверки“.

Организациите трябва да бъдат внимателни, да извършват собствени тестове и да не разчитат напълно на платформените механизми за сигурност.

#Lovable, # OX Security, # XSS, # ИИ разработка, # уязвимости
e-security.bg

Подобни

ИИ агент започна самостоятелно криптомайнинг по време на обучение
10.03.2026
jcoope12-ai-generated-9054495_640
Критична уязвимост в NGINX UI позволява пълен достъп до сървъри
10.03.2026
online-security-protection-dark-background-3d-illustration (1)
Масови течове на частни ключове за TLS застрашават големи компании и правителства
9.03.2026
TLS_ArtemisDiana_Alamy
Критична уязвимост в WordPress плъгина User Registration & Membership
6.03.2026
wordpress
Google: 90 Zero-Day уязвимости експлоатирани активно през 2025 г.
6.03.2026
google-account-security-100832892-large
Активни атаки срещу Cisco Catalyst SD-WAN
6.03.2026
cisco

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.