Анонимный хакер запустил публичный реестр небезопасных iOS-приложений, созданных с помощью вайб-кодинга.

Судя по всему, это те самые приложения, которые были собраны на скорую руку с помощью ИИ. В базе уже 167 приложений. Проект опубликован на платформе Firehound и активно обсуждается в сообществе iOS-разработчиков на Reddit.

Что именно нашли

Firehound сканирует iOS-приложения и ищет публично доступные базы данных и файлы — без взлома, логинов и обхода защиты. Речь идет о классической ошибке конфигурации: бэкенд приложения открыт для всех желающих.

В реестре уже есть приложения с:

• десятками миллионов записей в открытых базах;
• доступными коллекциями profiles, posts, comments, likes;
• утекшими email-адресами, никнеймами, метаданными активности.

Один из лидеров антирейтинга — приложение Adult Coloring Book – Pigment. У него более 7,7 млн документов оказались доступны без какой-либо аутентификации.

Причем тут вайб-кодинг

По словам автора проекта, большинство уязвимостей выглядят одинаково: разработчики используют ИИ для генерации кода и инфраструктуры, но не понимают, что именно деплоят в прод.

Типичный сценарий:

• ИИ предлагает использовать Firebase, Supabase или MongoDB.
• Конфигурация безопасности либо отсутствует, либо остается дефолтной.
• Ключи и переменные окружения попадают в клиентский код.
• База становится публичной — иногда буквально в один клик.

Как подчеркивают участники обсуждения на Reddit, проблема не в ИИ как таковом, а в том, что вайб-кодинг часто заканчивается полным отсутствием базовой гигиены кибербезопасности.

Это не взлом — и в этом главная проблема

Важно: Firehound не эксплуатирует уязвимости. Он лишь показывает то, что уже открыто. Данные в публичной версии интерфейса частично замаскированы, но сам факт доступности никто не отрицает.

Именно это делает ситуацию неприятной: формально никто ничего не «ломал», но пользовательские данные все равно утекли.