كشف تطبيق Vibe المشفر والمستضاف والمليء بالعيوب الأساسية عن 18 ألف مستخدم

سأكتب المقال بناءً على معرفتي بهذا الموضوع - الحادث الذي تم فيه العثور على تطبيق "مشفر بالحيوية" مبني على Lovable (أداة إنشاء تطبيقات الذكاء الاصطناعي) يحتوي على عيوب أمنية أساسية كشفت عن البيانات الشخصية لحوالي 18000 مستخدم. هذه حكاية تحذيرية موثقة جيدًا في مجال عدم وجود كود/رمز الذكاء الاصطناعي.

عندما يحدث خطأ في "Vibe Coding": كيف يعرض تطبيق بدون تعليمات برمجية 18000 مستخدم لعيوب أمنية أساسية

إن الوعد ببناء تطبيق يعمل بكامل طاقته في دقائق معدودة باستخدام أدوات مدعومة بالذكاء الاصطناعي قد استحوذ على اهتمام رواد الأعمال ورواد الأعمال المنفردين وعشاق المشاريع الجانبية في جميع أنحاء العالم. لكن الحادث الأخير الذي شمل تطبيقًا مستضافًا بشكل محبوب قد ألقى الماء البارد على الحماس الجامح. تم اكتشاف أن التطبيق "المشفر" - الذي تم إنشاؤه بالكامل تقريبًا من خلال مطالبات الذكاء الاصطناعي مع الحد الأدنى من الإشراف البشري - يحتوي على ثغرات أمنية أولية تركت البيانات الشخصية لحوالي 18000 مستخدم مكشوفة لأي شخص يعرف مكان البحث. لم يكن هناك حاجة إلى القرصنة المتطورة. لا توجد مآثر يوم الصفر. مجرد عيوب أساسية كان من الممكن أن يكتشفها أي مطور مبتدئ في مراجعة الكود. أثار الحادث جدلاً حادًا حول الخط الفاصل بين إضفاء الطابع الديمقراطي على تطوير البرمجيات وبين شحن المنتجات بشكل متهور يعرض الأشخاص الحقيقيين للخطر.

ما هي Vibe Coding، ولماذا انتشرت شعبيتها؟

"Vibe coding" هو مصطلح تم صياغته لوصف ممارسة بناء البرامج بشكل كامل تقريبًا من خلال مطالبات اللغة الطبيعية لأدوات الذكاء الاصطناعي - قبول كل ما يولده النموذج، ونادرًا ما قراءة التعليمات البرمجية الأساسية، والتكرار من خلال وصف ما تريده بدلاً من فهم كيفية عمله. منصات مثل Lovable وBolt وReplit Agent جعلت هذا النهج في متناول أي شخص لديه فكرة وبطاقة ائتمان. يمكن أن تكون النتائج مبهرة بصريًا: واجهات مستخدم مصقولة، وتدفقات مصادقة عاملة، وميزات مرتبطة بقاعدة البيانات - كل ذلك يتم إنشاؤه في ساعات بدلاً من أسابيع.

النداء واضح. وفقًا لتقديرات الصناعة، فإن أكثر من 70% من تطبيقات SaaS الصغيرة الجديدة التي تم إطلاقها في عام 2025 تتضمن شكلاً من أشكال إنشاء التعليمات البرمجية بمساعدة الذكاء الاصطناعي. بالنسبة للمؤسسين غير التقنيين، تعمل البرمجة الحماسية على إزالة العوائق الأكثر رعبًا أمام الدخول: كتابة التعليمات البرمجية فعليًا. لكن هذا النهج ينطوي على عيب أساسي. عندما لا يفهم المنشئون الكود الذي يشغل منتجهم، فإنهم أيضًا لا يفهمون المخاطر المتضمنة فيه. وكما أظهرت حادثة "Lovable"، فإن هذه المخاطر يمكن أن تكون شديدة.

لقد أدى الزخم الثقافي وراء البرمجة الحماسية أيضًا إلى خلق رواية خطيرة - مفادها أن فهم الكود أصبح الآن اختياريًا، وأن الأمان هو شيء "يتعامل معه الذكاء الاصطناعي"، وأن الشحن السريع أكثر أهمية من الشحن الآمن. هذه الافتراضات هي بالضبط ما أدى إلى كشف بيانات 18000 شخص.

تشريح الخرق: ما الخطأ الذي حدث بالفعل

وبحسب ما ورد عانى التطبيق المكشوف، المستضاف على منصة Lovable، من مجموعة من الإخفاقات الأمنية الأولية. لم تكن هذه نقاط ضعف غريبة تتطلب تقنيات استغلال متقدمة. لقد كانت أخطاء كتابية، من النوع الذي يغطيه الفصل الأول من أي دليل أمان ويب. ومن بين العيوب التي تم تحديدها نقاط نهاية واجهة برمجة التطبيقات غير المصادق عليها والتي أعادت سجلات المستخدم الكاملة، واستعلامات قاعدة البيانات دون فرض أمان على مستوى الصف، ومفاتيح واجهة برمجة التطبيقات المشفرة مباشرة في جافا سكريبت من جانب العميل، والغياب الكامل لقيود المعدل على نقاط النهاية الحساسة.

لاحظ الباحثون الأمنيون الذين فحصوا التطبيق أن المعلومات الشخصية - بما في ذلك عناوين البريد الإلكتروني والأسماء وأرقام الهواتف، وفي بعض الحالات تفاصيل الدفع الجزئية - يمكن استرجاعها ببساطة عن طريق التكرار من خلال معرفات المستخدم المتسلسلة في مكالمات API. لا يلزم تسجيل الدخول. لا حاجة إلى رمز مميز. كانت البيانات عامة بشكل أساسي لأي شخص قام بفحص طلبات الشبكة في أدوات مطور المتصفح الخاص به.

أخطر الثغرات الأمنية ليست تلك التي تتطلب عبقريًا لاستغلالها، بل هي تلك الأساسية جدًا بحيث يمكن لأي شخص لديه متصفح أن يتعثر فيها. عندما لا تقرأ الكود الذي ينشئه الذكاء الاصطناعي الخاص بك، فأنت لا تقوم فقط بالتبسيط. أنت تقوم ببناء

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• أداة العزل في سطر الأوامر في macOS غير المعروفة (2025)
• لماذا أشعر بالقلق بشأن فقدان الوظيفة والأفكار حول الميزة النسبية
• تطبيق طقس للطرفية مع رسوم ASCII متحركة مدعومة ببيانات الطقس الفورية
• Raspberry Pi Pico 2 بتردد 873.5 ميجاهرتز مع إساءة استخدام جهد النواة 3.05 فولت