Сучасні продукти все частіше створюються за допомогою ШІ. Це значно прискорює розробку, але водночас породжує нові класи вразливостей, зокрема логічні помилки, проблеми з багатокористувацьким доступом та непередбачувану поведінку ШІ-агентів. Традиційні підходи до кібербезпеки не встигають за такою швидкістю та складністю.
Щоб вирішити цю проблему, компанії часто залучають зовнішніх дослідників через платформи на кшталт HackerOne. Це допомагає виявляти реальні сценарії атак, розширювати можливості для захисту за межами внутрішніх команд, а також підвищувати прозорість і довіру до продукту.
Однією з компаній, що працюють за цією моделлю, є Lovable — платформа на базі ШІ, яка дозволяє користувачам створювати додатки без знання програмування. Маючи майже 8 мільйонів користувачів, оцінку в $6,6 мільярда та понад 25 мільйонів проєктів, створених на платформі (з яких понад 100 000 нових додаються щодня), Lovable стала одним із найшвидше зростаючих ШІ-стартапів у світі. При таких масштабах безпека — не опція, а ключова вимога до продукту.
Програма розкриття вразливостей (VDP) компанії Lovable на HackerOne чудово ілюструє цей новий підхід до відповіді на сучасні кібербезпеки. VDP охоплює платформу в цілому та фокусується на найбільш критичних проблемах: контролі доступу, багатокористувацькій авторизації та специфічних для ШІ вразливостях. Водночас програма відсіює малозначимі звіти, які не мають практичного впливу. Це свідчить про орієнтацію на реальну перевірку безпеки, а не на формальне виконання вимог комплаєнсу.
Звісно, ми не змогли втриматися — наші ШІ-агенти уважно вивчили інфраструктуру Lovable. Під час тестування вони виявили вразливість, яка відповідала критеріям програми: вона була відтворюваною, мала чіткий вплив на безпеку та демонструвала реалістичний шлях атаки. Звіт було прийнято, а проблему усунуто командою Lovable, що продемонструвало їхнє серйозне ставлення до кібербезпеки.
Ключові висновки
Що це означає для команд, які розробляють продукти на базі ШІ-технологій?
По-перше, ніхто не ідеальний, у тому числі ШІ-агенти, які пишуть код. Хоча розробка з використанням ШІ допомагає усунути багато типових проблем, спричинених людським фактором, розробникам, які використовують ШІ, не варто вважати, що результат буде бездоганним. Це видно навіть у змінах у списку головних вразливостей OWASP Top Vulnerabilities, який суттєво змістився через масове впровадження ШІ в розробку програмного забезпечення. І ми хочемо продемонструвати це на прикладі одного дуже типового сценарію.
ШІ-асистенти для розробки оптимізовані для швидких і помітних результатів. При генерації додатків моделі часто опускають безпеку на рівні рядків (Row Level Security — RLS) або повністю вимикають її, оскільки суворі політики RLS збільшують ймовірність збоїв під час демонстрації. Робоче демо має більший пріоритет ніж безпека.
Результат: додатки, які виглядають готовими до релізу, можуть містити критичну вразливість, яка дозволяє сторонній особі завантажити вашу базу даних за допомогою одного API-запиту, без жодних складних експлойтів. Номери телефонів, документи, внутрішні записи та дані користувачів — все це може опинитися у відкритому доступі. Зловмисники навіть можуть їх змінити чи видалити.
По-друге, далеко не кожна компанія має ресурси чи рівень зрілості для запуску VDP на HackerOne. Тим часом зловмисники не вибирають цілі вручну — вони шукають та експлуатують вразливості масово, використовуючи автоматизацію. Це робить безпеку базовим елементом розробки, а не питанням, яке можна відкласти на потім.
Що ми рекомендуємо зробити перед наступним деплоєм:
- Чітко вказуйте вашій моделі генерувати політики RLS для кожної таблиці з прив'язкою до структури вашої організації та ролей.
- Запустіть Supabase Advisor (Dashboard → Database → Advisors), щоб виявити наявні прогалини в політиках.
- Перед будь-яким релізом у продакшн перевірте стан безпеки за допомогою професійного або автоматизованого (за допомогою ШІ) пентесту.
По-третє, — і це нарешті гарна новина.
Ми раді представити наш новий інструмент — AI Pentest, в якому використовуються ті ж самі ШІ агенти та методологія, що допомогла виявити вразливість у Lovable. Цей підхід базується на практиках, які елітні етичні хакери застосовують у сферах Gov та Defence Tech. Він адаптований до реальних умов і заточений під пошук специфічних для ШІ вразливостей: незахищених систем контролю доступу, вразливостей авторизації та помилок у конфігураціях, які дедалі частіше з'являються через масове використання ШІ-агентів в розробці.
Наша місія — зробити кібербезпеку доступною, тому AI Pentest поєднує вигідну ціну з максимальною глибиною та якістю тестування. Вартість стартує від $1 000, а результати ви отримуєте за 4 робочі дні. Швидко, надійно та без жодних компромісів із безпекою.
Результат нашого пентесту — це чітка основа для усунення реальних загроз. Швидке замовлення послуги, швидкий старт, швидке отримання результатів — швидкий вивід безпечного продукту на ринок.
Забронювати ознайомчий дзвінок з A42, щоб дізнатись більше про AI Pentest



