En shipping‑app med lister over forventede anløb i havne. En intern sundhedsapp med aktive kliniske forsøg i Storbritannien. Uredigerede kundeservice‑samtaler fra en britisk kabinetleverandør. Og interne finansoplysninger fra en brasiliansk bank. VentureBeat gengiver, at israelske RedAccess har fundet i alt 380.000 offentligt tilgængelige vibe‑apps og beslægtede assets, og cirka 5.000 af dem indeholdt følsomme virksomhedsdata.
Det er ikke et hjørneproblem. Det er en ny klasse af skygge‑AI og low‑code artefakter, der lever på public URL’er, ofte med live databaser bag. VentureBeat oplyser, at Axios uafhængigt har bekræftet flere eksponeringer, og at Wired separat har bekræftet fund. For os peger det på et gab mellem hurtig produktudvikling og de sikkerhedsprogrammer, der stadig forventer kendte systemer og konti.
Metode og forbehold
Tallene 380.000 og ~5.000 stammer fra RedAccess’ scanninger, som VentureBeat refererer. RedAccess’ offentlige materiale beskriver resultater og eksempler, men den fulde metode er ikke åbent dokumenteret. Vi behandler derfor tallene som et stærkt signal, ikke som en fuldstændig kortlægning. VentureBeat angiver uafhængige bekræftelser fra Axios og Wired af udvalgte eksponeringer; de præcise cases de bekræfter, fremgår af VentureBeats gennemgang.
Vigtigt skel: eksponering er ikke det samme som dokumenteret misbrug. Der er både fund af åbne data og eksempler på faktisk misbrug (phishing‑sites). Vi adskiller de to i resten af artiklen.

Hårde fund og typer af eksponering
VentureBeat oplister eksponeringer, der spændte fra logistikdata og sundhedsrelateret indhold til interne kundesamtaler og finansoplysninger. Derudover rapporterer RedAccess phishing‑sites bygget på Lovable, der udgav sig for Bank of America, FedEx, Trader Joe’s og McDonald’s. Ifølge VentureBeat oplyste Lovable, at de arbejdede på at fjerne dem. Det er altså både konfigurationsfejl og bevidst misbrug i samme økosystem.
Vi genkender hverdagsglipperne: et staginglink bliver delt i en Slack‑tråd og ender som produktionsreference; et dashboard hæftes på en public database uden auth, fordi “vi skal lige vise det i morgen”. Vi har set det ske i nordiske miljøer med citizen‑devs og en hosted database. Ikke ondsindet, bare hurtigt.
Hvorfor det sker
Teknisk set er forklaringen kedeligt praktisk: flere vibe‑coding‑platforme starter offentligt, så privat kræver et valg. Deployment til Netlify eller lignende tager minutter. Mange af siderne bliver derefter indekseret af søgemaskiner. Kombinationen af hurtig UI‑generering, en live database som Supabase eller Firestore, standard‑CORS og fravær af formelt review giver et åbent vindue.

Og forventningen om, at værktøjet “bare er sikkert”, er sejlivet. Nogle platforme giver gode defaults, andre kræver aktiv opsætning af adgang, robots‑politik og hemmeligheder. De små checkbokse bliver tabt, når tempoet er højt.
Hvorfor de klassiske kontroller missede det
De fleste enterprise‑værktøjer er bygget til servere, endpoints og kendte cloud‑konti. Ikke til en ad hoc‑formular, som en produktleder vibe‑koder i weekenden og lægger på en public URL. Asset discovery kigger i CloudTrail, ikke i Netlify‑previewdomæner. IAM håndhæver roller i store SaaS‑apps, ikke i en tilfældig Lovable‑app. DLP passer på mail og filsynk, ikke på et åbent JSON‑endpoint.
Det er ikke fordi værktøjerne er dårlige. Angrebsfladen har bare flyttet sig. Og kultur spiller ind: “Vi rydder op på mandag.” Mandag kommer sjældent.

Compliance og mulige pligter
VentureBeat skriver, at eksponeringer inden for sundhed og finans – afhængigt af data og jurisdiktion – kan udløse forpligtelser under HIPAA, UK GDPR eller Brasiliens LGPD. Officielle tekster understøtter rammen: HIPAA har regler for underretning ved uautoriseret adgang til beskyttede helbredsoplysninger; UK GDPR kræver anmeldelse til ICO inden 72 timer ved sandsynlig risiko; LGPD har tilsvarende mekanismer hos ANPD. Den konkrete vurdering afhænger altid af indhold, adgang og risiko.
Når man lukker et hul, efterspørger jurister typisk logs og evidens. Tag derfor fuld capture af indhold og netværk, før der lukkes ned, hvis det er forsvarligt. Ellers står man uden bevisgrundlag.
Tre konsekvenser for drift og governance
1) Opdagelse og inventar: Gør crawling af public subdomæner og kendte værtsmiljøer (Netlify, GitHub Pages, Replit m.fl.) til en fast opgave. Ikke en engangsscan, men et løbende job med index‑monitorering og mønstergenkendelse af forms, dashboards og åbne API‑ruter.
2) Pre‑deployment checks i low‑code‑flows: En let preflight, der automatisk stopper deploy ved åben CORS, manglende auth, secrets i kode og uønsket indeksering. Det kan ligge som GitHub Action, Netlify‑plugin eller et simpelt script i build‑pipelines.
Og 3) Incident response for vibe‑apps
Når en public URL med følsomme data opdages, kræver det en enkel drejebog: Isolér hurtigt – men tag beviser først. Gem fuld side og headers, tidsstempler og relevante logs. Notificér dataejer og compliance. Roter nøgler/tokens, revurdér roller, og vælg rollback, takedown eller proxy bag login. Afslut med regulatorisk vurdering og dokumentation. Det er sådan vi strukturerer arbejdet, fordi alt andet skaber rod.
I en nylig kundesituation kortlagde vi 20 glemte subdomæner på en halv time. Crawleren missede dog et privat link, som viste sig at være det mest risikable. Automatik fanger meget, ikke alt.

Automatiserede scanværktøjer – styrker og huller
URL‑crawlere og secret‑scannere finder typisk eksponerede API‑nøgler, simple auth‑fejl, åbne index‑tags og ubeskyttede JSON‑feeds. VentureBeat henviser udover RedAccess til en rapport fra Escape.tech om tusindvis af sårbarheder og hundreder af eksponerede hemmeligheder i vibe‑apps. Vi har ikke direkte metodeindblik her, så tag det som trendpejling.

Maskiner er stærke på mønstre. De er svage på kontekst: juridisk følsomhed, re‑identifikationsrisiko og forretningskritikalitet. Det kræver menneskelig vurdering, især ved sundheds‑ og finansdata, hvor samme datapunkt kan være åbent i ét land og følsomt i et andet.
Implikation for sikkerhedsarkitekturen
Det handler lige så meget om styring som om værktøj. Produktteams vælger ofte fart over kontrol. Det kan man ikke moraliseres ud af. Løsningen er at bygge vagtværn ind i farten: lettilgængelig asset‑radar, automatiske preflight‑checks og en besluttet respons, når noget slipper ud.
Politikkerne skal håndhæves der, hvor arbejdet sker: i Lovable, Netlify, Replit – eller via en sidecar i jeres pipeline, hvis platformen ikke kan det selv. Least‑privilege på detaljeniveau: Hvem må publicere til hvilke domæner, og hvem må koble til produktionsdata uden proxy. Tørt? Ja. Effektivt.
Hvad man kan gøre allerede i morgen
Start med discovery: kør en AI‑assisteret crawler på jeres domæner og sandsynlige værter. Supplér med søgedorks, ugentlige diffs på nye indextreffere og scanning efter .env‑artefakter, misbrugte tokens og offentlige admin‑ruter.
Flyt derefter policies tættere på værktøjerne: blokér deploy, hvis privacy ikke er privat, hvis robots‑politikken tillader indeksering af følsomme stier, eller hvis en environment‑variabel matcher kendte nøglemønstre. For cloud‑databaser: gennemgå adgangsregler og auditlogs og fastlæg en baseline. Hullerne er ofte de samme fra sted til sted.
En kort case fra gulvet
Hos en nordisk servicevirksomhed fandt vi en kundetilmeldingsformular bygget af et lille team. Public subdomæne. Hosted database. Ingen tegn på ondsindet trafik, men siderne var indekseret og spredt via referers fra Slack. Vi kørte drejebogen: capture, isolering, token‑rotation, proxy bag login – og en workshop med produktteamet bagefter. To dage. Det, der slog os, var lettelsen, da der kom faste “rails”. De ville bare fremad uden at sætte sikkerheden over styr.
Modargumenter og det, vi endnu ikke ved
Man kan hævde, at ~1,3 procent er lavt, og at der er få offentlige eksempler på konkret skade. Det er en fair pointe. RedAccess’ fulde metode er ikke offentlig, og vi mangler brede studier af faktisk misbrug og økonomisk effekt. Samtidig er 5.000 følsomme assets et antal, der retfærdiggør basal discovery og simple preflight‑checks. Det behøver ikke at være et stort program for at flytte risikoen markant.
Prioritering når fundene hober sig op
- Datatype først: sundheds‑/finansdata, legitimationsoplysninger, kundesamtaler – lukker man først.
- Reach: er siden indekseret og linket, eller kun via en lang URL.
- Genbrugelighed: API‑nøgler og tokens, der kan misbruges andre steder – roter med det samme.
- Forretningsnærhed: påvirker det kernekunder eller regulatoriske markeder.
Resten kan vente til næste sprint. Skriv beslutningen ned, så I ikke genåbner samme diskussion ugen efter.
Hvad betyder det for rollerne
CISO: sæt et stående discovery‑job op og rapportér månedligt på lukkede huller og åbne risici. Produktchefer: indfør et trivielt deploy‑tjek, der også holder en fredag eftermiddag. Compliance: aftal, hvordan dokumentation samles ved eksponering, og hvornår sagen går til juridisk vurdering.
Supportteams ser ofte signalerne først. Indsæt et simpelt inputfelt i runbooks til mistænkelige public sider. Små observationer bliver til store fund her.
Bundlinjen
Skygge‑AI og vibe‑coding gør softwareudvikling ekstremt hurtig. Sikkerhedsarbejdet skal rykke med ud til dér, hvor apps og indhold rent faktisk bliver til. VentureBeat gengiver RedAccess’ tal og eksempler, bakket op af uafhængige bekræftelser. Tag signalet alvorligt og få de enkle vagtværn på plads.
Man mærker forskellen den dag, I finder den første app, ingen vidste fandtes.