Seorang penyelidik keselamatan telah mendedahkan kelemahan serius dalam aplikasi temu janji remaja bernama Pandu yang mendedahkan data peribadi hampir 1,000 kanak-kanak berusia bawah 18 tahun. Aplikasi ini, yang berjaya melalui proses semakan App Store Apple, mengandungi pelbagai kelemahan keselamatan kritikal yang menyebabkan lokasi, foto, dan maklumat peribadi pengguna terdedah sepenuhnya.
Kelemahan Keselamatan Yang Ditemui:
- Kunci API yang dikodkan keras dalam kod sumber
- Pangkalan data terbuka tanpa pengesahan diperlukan
- Lokasi pengguna, foto, dan data peribadi terdedah
- Hampir 1,000 kanak-kanak bawah umur 18 tahun terjejas
- Penjejakan lokasi masa nyata boleh diakses oleh sesiapa sahaja
Proses Penemuan
Penyiasatan bermula apabila penyelidik keselamatan coal320 bertemu dengan pencipta aplikasi di acara hackathon. Apa yang bermula sebagai rasa ingin tahu tentang aplikasi yang dijana AI dengan cepat bertukar menjadi audit keselamatan yang membimbangkan. Penyelidik mendapati bahawa kod sumber aplikasi mengandungi kunci API terkod dan kelayakan pangkalan data, menjadikannya mudah bagi sesiapa sahaja untuk mengakses sistem backend.
Penemuan yang paling membimbangkan ialah pangkalan data aplikasi tidak mempunyai sekatan keselamatan langsung. Sesiapa yang mempunyai pengetahuan teknikal asas boleh mengakses, mengubah suai, atau memadamkan data pengguna tanpa sebarang pengesahan. Ini bermakna lokasi masa nyata kanak-kanak, foto peribadi, dan maklumat profil pada dasarnya adalah awam.
Butiran Teknikal:
- Aplikasi dibina menggunakan alat AI ( Cursor , Claude )
- Menggunakan Supabase sebagai pangkalan data backend
- Mengandungi kunci API OpenAI dalam teks biasa
- Kod sumber boleh didapati melalui kaedah pengekstrakan mudah
- Tiada sekatan keselamatan pada pertanyaan pangkalan data
Respons Komuniti dan Pendedahan Bertanggungjawab
Reaksi komuniti teknologi adalah bercampur-campur, dengan ramai yang memuji penyelidik kerana mendedahkan kelemahan kritikal ini manakala yang lain mengkritik kaedah pendedahan awam. Penyelidik mendakwa telah menghubungi pembangun aplikasi terlebih dahulu melalui amalan pendedahan bertanggungjawab, tetapi menerima sedikit minat untuk membetulkan masalah tersebut.
Implikasi privasi menggunakan perisian yang dibina oleh seseorang yang output produktifnya terikat secara langsung dengan uptime Cursor adalah sangat mengerikan.
Sesetengah ahli komuniti telah mempersoalkan sama ada menerbitkan arahan teknikal terperinci untuk mengakses kelemahan adalah sesuai, dengan berhujah ia boleh meletakkan kanak-kanak pada risiko yang lebih besar. Yang lain mempertahankan pendedahan awam sebagai perlu memandangkan ketidaksediaan pembangun untuk menangani isu keselamatan.
Masalah Pembangunan AI yang Lebih Luas
Insiden ini menyerlahkan kebimbangan yang semakin meningkat tentang kualiti aplikasi yang dijana AI yang memasuki pasaran. Aplikasi ini dilaporkan dibina menggunakan alat pengekodan AI seperti Cursor dan Claude, dengan pengawasan manusia atau semakan keselamatan yang minimum. Pembangunan pesat yang dimungkinkan oleh alat-alat ini membolehkan orang yang mempunyai pengetahuan pengaturcaraan terhad untuk mencipta dan menggunakan aplikasi tanpa memahami prinsip keselamatan asas.
Situasi ini menimbulkan persoalan tentang tanggungjawab pembangun dan pengawasan platform. Proses kelulusan App Store Apple gagal menangkap kelemahan keselamatan yang jelas ini, walaupun aplikasi direka untuk kanak-kanak bawah umur dan mengendalikan data lokasi sensitif.
 |
|---|
| Imej ini mewakili perbincangan mengenai tanggungjawab dan isu keselamatan dalam aplikasi yang dijana oleh AI, menggemakan kebimbangan yang dibangkitkan dalam kes Pandu |
Status Semasa dan Implikasi
Setakat penerbitan laporan keselamatan ini, aplikasi masih tersedia di App Store. Penyelidik telah menawarkan untuk membantu membetulkan isu keselamatan secara percuma, walaupun tidak jelas sama ada pembangun akan menerima bantuan ini. Insiden ini berfungsi sebagai peringatan keras tentang potensi bahaya apabila alat pembangunan berkuasa AI digunakan tanpa pengetahuan atau pengawasan keselamatan yang sewajarnya.
Kes ini juga menunjukkan bagaimana demokratisasi pembangunan aplikasi melalui alat AI boleh mencipta risiko baharu, terutamanya apabila aplikasi mengendalikan data pengguna sensitif atau menyasarkan populasi yang terdedah seperti kanak-kanak. Tanpa pendidikan keselamatan dan proses semakan yang sewajarnya, alat-alat ini mungkin membolehkan penciptaan aplikasi yang meletakkan pengguna pada risiko serius.
Rujukan: JUST FUCKING SHIP IT (sec vibecoding)
 |
|---|
| Imej ini menunjukkan proses penyahsulitan yang berkaitan dengan aplikasi Pandu, menggambarkan cabaran teknikal yang dibincangkan dalam menangani kelemahan keselamatannya |