Aplicació allotjada de Lovable amb codificació Vibe plena de defectes bàsics que van exposar 18 000 usuaris

Les vulnerabilitats de seguretat més perilloses no són les que requereixen geni per explotar; són les tan bàsiques que qualsevol que tingui un navegador pot ensopegar-hi. Quan no llegiu el codi que genera la vostra intel·ligència artificial, no només esteu tallant cantonades. Estàs construint una casa sense panys i amb l'esperança de que ningú no taqui la porta.

La causa principal: confiança sense verificació

Al cor d'aquest incident hi ha un patró sobre el qual els professionals de la seguretat han estat advertint des que les eines de generació de codi d'IA van guanyar força. El desenvolupador, o més exactament, l'enginyer ràpid, confiava implícitament en la sortida de l'IA. Quan l'aplicació semblava que funcionava, es va suposar que estava llesta per a la producció. Però "funciona" i "segur" són estàndards completament diferents. Un punt final d'API pot retornar les dades correctes per a l'usuari correcte i, simultàniament, retornar aquestes mateixes dades a tots els visitants no autoritzats d'Internet.

Els generadors de codis d'IA estan optimitzats per a la correcció funcional, no per a la resiliència enfrontada. Produeixen codi que satisfà el missatge, no codi que anticipa com un actor maliciós podria abusar-ne. Les polítiques de seguretat a nivell de fila, la desinfecció d'entrada, el programari intermedi d'autenticació, la configuració de CORS i la limitació de velocitat són preocupacions que requereixen una implementació deliberada i conscient de la seguretat. Poques vegades sorgeixen de manera natural a partir d'indicacions com "crea'm un tauler d'usuari".

La plataforma Lovable en si proporciona Supabase com a backend, que ofereix funcions de seguretat robustes, incloses polítiques de seguretat a nivell de fila (RLS). Però aquestes funcions s'han d'habilitar explícitament i configurar-les correctament. En aquest cas, el codi generat per IA no ha pogut habilitar RLS o bé l'ha configurat incorrectament, creant una capa de dades molt oberta darrere d'una interfície polida. La lliçó és clara: les capacitats de seguretat de la plataforma són irrellevants si el codi generat no les utilitza.

Per què això és un problema sistèmic, no un incident aïllat

Seria reconfortant descartar això com un fracàs puntual d'una persona descuidada. Però l'evidència suggereix que el problema és estructural. Un estudi de Stanford del 2025 va trobar que els desenvolupadors que utilitzaven assistents d'IA van produir codi amb un 40% més de vulnerabilitats de seguretat que els que codifiquen manualment i, de manera crítica, se sentien més segurs de la seguretat del seu codi. Aquesta bretxa de confiança és el veritable perill. Els codificadors Vibe no només envien codi insegur; creuen sincerament que han construït alguna cosa sòlida.

La proliferació d'aplicacions creades amb intel·ligència artificial fa que ara hi hagi milers d'aplicacions de producció que gestionen dades reals d'usuaris que mai s'han sotmès a una revisió de seguretat, una prova de penetració o fins i tot una auditoria manual del codi. Moltes d'aquestes aplicacions estan creades per fundadors en solitari que no tenen coneixements tècnics per avaluar el que ha produït l'IA. La superfície d'atac no és una única aplicació, sinó que és una generació sencera de programari que es basa en el supòsit que la sortida d'IA és inherentment fiable.

Penseu en el flux de treball típic de codificació de vibracions i on la seguretat passa per les esquerdes:

1. Desenvolupament ràpid: el creador descriu les funcions en llenguatge natural, sense esmentar els requisits de seguretat, els patrons d'autenticació o les polítiques de protecció de dades.
2. Acceptació sense revisió: el codi generat es prova per a la seva funcionalitat ("funciona el botó?"), però mai s'ha auditat per seguretat ("qui més pot accedir a aquestes dades?").
3. Implementació ràpida: l'aplicació es posa en funcionament en qüestió d'hores o dies, sense entorn de prova, sense proves de seguretat i sense control d'accés no autoritzat.
4. Ampliació amb exposició: a mesura que els usuaris es registren i proporcionen dades personals, el radi d'explosió de qualsevol vulnerabilitat augmenta, però el creador no té visibilitat de les possibles amenaces.
5. Descobriment per part de persones alienes: les fallades de seguretat es troben finalment, no pel constructor, sinó per investigadors, competidors o actors maliciosos.

Com és realment la creació d'aplicacions responsable

Res d'això vol dir que el desenvolupament assistit per IA sigui inherentment perillós o que els fundadors no tècnics no puguin crear productes legítims. Significa que l'enfocament requereix baranes, consciència i, en molts casos, la voluntat d'utilitzar plataformes establertes en lloc de construir des de zero. Els conceptes bàsics de seguretat que l'aplicació exposada no ha pogut implementar no són funcions opcionals. Són apostes de taula per a qualsevol aplicació que gestioni dades d'usuari.

Per als fundadors i operadors de petites empreses que necessiten programari per executar les seves operacions (CRM, facturació, reserves, gestió d'equips), el camí més segur sovint és no crear una aplicació personalitzada. Plataformes com Mewayz existeixen precisament per eliminar aquest risc. Amb 207 mòduls preconstruïts que cobreixen tot, des de nòmines i recursos humans fins a gestió de flotes, anàlisis i portals de clients, Mewayz ofereix la funcionalitat que els codificadors de vibració passen setmanes intentant replicar, excepte amb seguretat de nivell empresarial, autenticació adequada, maneig de dades encriptades i un equip d'enginyeria dedicat al manteniment de la infraestructura. Els 138.000 usuaris que ja estan a la plataforma es beneficien de pràctiques de seguretat que cap fundador en solitari que provoqui una IA a mitjanit no pot igualar de manera realista.

El càlcul és senzill: si el vostre negoci principal no és el desenvolupament de programari, les hores dedicades a la codificació d'una aplicació personalitzada s'invertirien millor per fer funcionar el vostre negoci, utilitzant eines creades, provades, auditades i mantingudes per professionals.

Lliçons per a l'era del desenvolupament assistit per IA

L'incident de Lovable no és un motiu per abandonar completament el desenvolupament assistit per IA. La generació de codi d'IA és una eina poderosa que accelera realment la creació de programari. Però una eina és tan segura com les mans que la porten. Una motoserra és inestimable per a un arborista entrenat i catastròfica per a algú que mai no n'ha tingut cap. El mateix principi s'aplica al codi d'enviament que mai heu llegit als servidors de producció que gestionen dades reals d'usuari.

Per a aquells que decideixen crear aplicacions personalitzades amb assistència d'IA, la llista de verificació de seguretat mínima viable no és negociable:

• Activeu i verifiqueu la seguretat a nivell de fila a cada taula de base de dades que contingui dades d'usuari; després proveu-ho intentant accedir als registres d'altres usuaris.
• No exposeu mai les claus de l'API al codi del client. Utilitzeu variables d'entorn del servidor i rutes de l'API per mantenir els secrets al navegador.
• Implementeu programari intermedi d'autenticació a cada punt final que retorni o modifiqui dades d'usuari. Prova amb sol·licituds no autenticades.
• Afegiu una limitació de velocitat per evitar atacs d'enumeració i intents de força bruta als punts finals d'inici de sessió i de dades.
• Executeu una auditoria bàsica de seguretat abans del llançament; fins i tot eines gratuïtes com OWASP ZAP poden detectar les vulnerabilitats més greus.
• Llegiu el codi generat. Si no el podeu entendre, contracteu algú que el pugui revisar abans de posar les dades dels usuaris reals.

Els 18.000 usuaris les dades dels quals es van exposar no es van registrar sabent que estaven fent proves beta de l'experiment d'IA d'algú. Van confiar en l'aplicació amb la seva informació perquè semblava professional i funcionava correctament. Aquesta confiança va ser violada no per un ciberatac sofisticat, sinó per una negligència vestida d'innovació. A mesura que les eines de desenvolupament basades en intel·ligència artificial continuen reduint la barrera per a la creació de programari, la indústria (i els constructors individuals) han de garantir que la barrera per enviar programari segur no caigui amb ella.

Conclusió: la velocitat sense seguretat és només imprudència

L'atractiu de crear un producte SaaS complet durant un cap de setmana utilitzant res més que indicacions d'IA és innegable. Però l'incident de Lovable ha deixat una cosa dolorosament clara: la velocitat a la qual pots crear una aplicació no té sentit si no pots garantir la seguretat de les persones que l'utilitzen. Per a cada història d'èxit amb codificació de vibracions compartida a les xarxes socials, hi ha un nombre incalculable d'aplicacions en producció en aquest moment amb exactament les mateixes vulnerabilitats, a l'espera de ser descobertes.

Si trieu construir amb assistència d'IA i invertir en revisions de seguretat adequades, o opteu per una plataforma provada com Mewayz que gestioni la infraestructura de seguretat perquè pugueu centrar-vos a fer créixer el vostre negoci, l'imperatiu és el mateix: tracteu les dades dels vostres usuaris amb el respecte que es mereix. El 2026, "no sabia que el codi era insegur" ja no és una excusa. És una responsabilitat.

Preguntes més freqüents

Què és la "codificació de vibracions" i per què és arriscat?

La codificació Vibe fa referència a la creació de programari mitjançant eines d'IA descrivint el que voleu en llenguatge natural, amb una revisió mínima del codi manual. El risc és que el codi generat per IA sovint no tingui els fonaments de seguretat adequats com l'autenticació, la validació d'entrada i el xifratge de dades. Sense que els desenvolupadors experimentats revisin els resultats, les vulnerabilitats crítiques poden passar sense detectar-se, i poden exposar milers d'usuaris a violacions de dades i violacions de privadesa.

Com va exposar l'aplicació allotjada a Lovable 18.000 usuaris?

L'aplicació contenia defectes de seguretat bàsiques, com ara claus API exposades, falta d'autenticació als punts finals de la base de dades i controls d'accés inadequats. Aquestes són vulnerabilitats fonamentals que qualsevol desenvolupador experimentat detectaria durant la revisió del codi. Com que l'aplicació es va crear principalment mitjançant indicacions d'IA sense una auditoria de seguretat exhaustiva, els atacants podien accedir directament a les dades dels usuaris, cosa que destaca per què la generació de codi automatitzada encara requereix supervisió humana i proves de seguretat.

Les aplicacions creades amb IA seran prou segures per a ús en producció?

Sí, però només amb pràctiques de seguretat adequades a la part superior. La generació de codi d'IA és un punt de partida, no un producte acabat. Les empreses necessiten revisions de codi, proves de penetració i una infraestructura segura. Plataformes com Mewayz mitiguen això proporcionant un sistema operatiu empresarial preconstruït i auditat per seguretat amb 207 mòduls a partir de 19 $/mes, de manera que obtindreu eines preparades per a la producció sense escriure codi vulnerable des de zero.

Què han d'aprendre les empreses d'aquest incident?

La cosa clau és que la velocitat mai no hauria d'anar a costa de la seguretat. Abans d'iniciar qualsevol aplicació que gestioni dades d'usuari, feu auditories de seguretat exhaustives independentment de com s'hagi construït. Penseu en l'ús de plataformes establertes amb antecedents de seguretat provats en lloc de desplegar codi generat per IA no provat. Protegir la confiança dels usuaris és molt més valuós que estalviar unes quantes hores de temps de desenvolupament.