380,000 AI-निर्मित ऐप्स के एक स्कैन में हज़ारों ऐसे ऐप मिले जिनमें कोई भी ऑथेंटिकेशन नहीं था

2023 के बाद से “वाइब-कोडिंग” का बिक्री-वाक्य एक ही रहा है — कोई भी ऐप बना सकता है। RedAccess के नए स्कैन ने इस वाक्य की पहली असली रसीद थमा दी है। AI कोडिंग टूल्स से बनी और Netlify जैसी सेवाओं के ज़रिए तैनात की गई करीब 380,000 वेब ऐप्लिकेशनों में से लगभग 5,000 ऐसी थीं जिनमें किसी भी क़िस्म का ऑथेंटिकेशन ही नहीं था। इन असुरक्षित ऐप्स में से लगभग 40 प्रतिशत संवेदनशील डेटा रखे बैठी थीं — उपयोगकर्ताओं की जानकारी, बातचीत के लॉग, भुगतान विवरण, अंदरूनी क्रेडेंशियल्स। ये आँकड़े इस हफ़्ते WIRED, Axios और Security Boulevard में एक साथ उतरे और वे एक ख़ास क़िस्म की विफलता का खाका पेश करते हैं — एक ऐसी विफलता जो पिछले दो साल से इंडस्ट्री चुपचाप जमा कर रही है।

नाम लिए गए जनरेटर वही प्लेटफ़ॉर्म हैं जिन्हें कोई भी ग़ैर-डेवलपर पहले से जानता है। Lovable, Replit, Base44 और “प्रॉम्प्ट से बनाओ” टूल्स का बड़ा इकोसिस्टम शुरू से एक ही अनकहा वादा बेचते आए हैं — AI सिर्फ़ कोड टाइप करने को नहीं हटाता, वह उस इंजीनियर को भी हटा देता है जिसे लूप में होना चाहिए था। एक प्रॉम्प्ट चुनो, ऐप को बनते देखो, उसे Netlify या Vercel से प्रोडक्शन में डालो, लिंक शेयर कर दो। RedAccess का स्कैन जो दर्ज कर रहा है, वह यही है — इस लूप में किसी ने भी रुककर यह नहीं पूछा कि क्या इस ऐप पर एक ताला चाहिए, और फिर भी ये ऐप्स चुपचाप प्रोडक्शन में चली गईं।

ये कमज़ोरियाँ चालाक भी नहीं हैं। ये असुरक्षित ऐप्स किसी हुनरमंद हमलावर की माँग नहीं कर रही थीं — वे बस एक ब्राउज़र की माँग कर रही थीं। बहुत सारी Supabase या Firebase की keys सीधे क्लाइंट बंडल में लगाकर तैनात की गई थीं, यानी कोई भी इच्छुक व्यक्ति डेटाबेस पढ़ सकता है। कुछ ऐप्स में उसी डेटाबेस पर लिखने की अनुमति भी थी, यानी कोई अजनबी आपके उपयोगकर्ताओं के रिकॉर्ड में फेरबदल कर सकता है। कुछ ऐप्स प्रशासनिक एंडपॉइंट तक खुले छोड़ रही थीं। यह श्रेणी का दोष न तो ज़ीरो-डे है, न कोई ग़लत कॉन्फ़िगर हुआ कोना। यह सुरक्षा परत का पूरा अभाव है।

संदेह यहाँ अपनी जगह बनाता है, क्योंकि सारा दोष टूल्स पर डालने का लालच बड़ा है और सिर्फ़ आधा सही है। बिना किसी निगरानी के वही ऐप शून्य से बनाने वाला कोई जूनियर डेवलपर भी इसी तरह की चीज़ ही ऑनलाइन कर देगा। फ़र्क़ है मात्रा का। वाइब-कोडिंग टूल्स ने प्रवेश-रेखा को इतना नीचे खींच दिया है कि वे लोग, जो ऑथेंटिकेशन पर अपने आप तर्क ही नहीं कर सकते, उनके द्वारा तैनात ऐप्स की कुल संख्या में विस्फोट हो गया है। टूल्स तकनीकी रूप से ऑथेंटिकेशन का स्कैफ़ोल्डिंग दे ही सकते हैं, लेकिन डिफ़ॉल्ट प्रवाह उसे ज़बरदस्ती लागू नहीं करता; और जिन उपयोगकर्ताओं को इन टूल्स से सबसे ज़्यादा फ़ायदा होता है, वे ही उस कमी को पकड़ने के लिए सबसे कम तैयार होते हैं। Lovable का कहना है कि वह ऑथेंटिकेशन स्कैफ़ोल्डिंग को डिफ़ॉल्ट रूप से चालू करने पर काम कर रहा है। Replit ने अपनी पहले से मौजूद सुरक्षा डिफ़ॉल्ट्स की ओर इशारा किया और साथ ही माना कि उपयोगकर्ता उन्हें बंद कर सकते हैं। Base44 ने सार्वजनिक रूप से कोई जवाब नहीं दिया है। प्लेटफ़ॉर्म प्रतिक्रिया दे रहे हैं — सवाल यह है कि क्या यह प्रतिक्रिया तैनाती की रफ़्तार से तेज़ चल पाएगी।

संरचनात्मक पाठ और भी मुश्किल से उतरता है। पिछले दो साल से इंडस्ट्री “तैनाती की पाइपलाइन से पेशेवर समीक्षा हटा देना” को एक ख़ूबी की तरह बेच रही है, लागत की तरह नहीं। RedAccess का डेटा यही दिखाता है कि वह “हटाना” बड़े पैमाने पर कैसा दिखता है। ऐप्स उस उपयोगकर्ता के लिए चलती हैं जिसने उन्हें बनाया, और उसी तरह उस किसी के लिए भी चलती हैं जिसे URL मिल जाए। अगले दो साल बहुत संभव है कि इसी तरह की घटनाओं के धीमे ढेर के साल हों — जब तक प्लेटफ़ॉर्म फ़्रेमवर्क-स्तर पर ऑथेंटिकेशन को डिफ़ॉल्ट के रूप में अनिवार्य न कर दें, या जब तक रेगुलेटर उन्हें ऐसा करने पर मजबूर न कर दें। दोनों हो सकते हैं। यूरोपीय संघ का प्रोडक्ट लायबिलिटी कानून पहले से ही AI-निर्मित सॉफ़्टवेयर को अपनी पकड़ में लाने की दिशा में दोबारा पढ़ा जा रहा है, और अमेरिकी राज्यों के अटॉर्नी जनरल भी इस इलाक़े के इर्द-गिर्द मँडराने लगे हैं।

इन प्लेटफ़ॉर्म के उपयोगकर्ता आज जो कर सकते हैं, वह सीमित है। RedAccess ने नाम लिए गए चार टूल्स के लिए दिशानिर्देश प्रकाशित किए हैं — पुष्टि कीजिए कि ऐप किसी भी डेटा तक पहुँच से पहले लॉगिन माँग रही है, क्लाइंट बंडल में जो keys भेजी जा रही हैं, उनका ऑडिट कीजिए, और यह मानकर चलिए कि आपने जो भी URL साझा किया है, वह पहले से ही किसी न किसी के स्कैन में है। प्लेटफ़ॉर्म्स ने सुधार का वादा किया है। इस ख़बर को जन्म देने वाला स्कैन कुछ दिनों में पूरा हुआ। अगला स्कैन तैयार किया जा चुका है।

380,000 AI-निर्मित ऐप्स के एक स्कैन में हज़ारों ऐसे ऐप मिले जिनमें कोई भी ऑथेंटिकेशन नहीं था

इस तरह की और सामग्री

DeepSeek V4: GPT-5 से पाँच गुना सस्ता, Nvidia चिप के बिना चलता है

Perplexity का $200 प्रति माह Mac एजेंट आया: ईमेल पढ़ेगा, फ़ाइलें संभालेगा

Shor के एल्गोरिदम द्वारा RSA-2048 तोड़ने की क्यूबिट आवश्यकता एक वर्ष में दस गुना घटी

सिलिकॉन को अलविदा: चीन ने पेश किया ‘LightGen’, वो प्रोसेसर जो रोशनी से चलता है और Nvidia की बादशाहत को चुनौती देता है

GPT-5.5 अब AWS पर भी चलेगा — OpenAI पर माइक्रोसॉफ़्ट के सात साल के एकाधिकार का अंत

DJI Osmo Pocket 4 लॉन्च: 4K/240fps की नई ऊंचाई, लेकिन अमेरिका में खरीदना नामुमकिन

चर्चा