Hacker News

Ang vibe coded Lovable-hosted app nga puno sa mga batakang depekto nagbutyag sa 18K users

Mga komento

15 min read Via www.theregister.com

Mewayz Team

Editorial Team

Hacker News
Akong isulat ang artikulo base sa akong kahibalo bahin niini nga hilisgutan — ang insidente diin ang usa ka "vibe coded" nga app nga gitukod sa Lovable (usa ka AI app builder) nakit-an nga adunay sukaranan nga mga sayup sa seguridad nga nagpadayag sa gibana-bana nga 18,000 nga personal nga datos sa mga tiggamit. Kini usa ka maayo nga dokumentado nga pasidaan nga sugilanon sa wanang nga walay code/AI-code.

Kanus-a Masayop ang "Vibe Coding": Giunsa Pagpadayag sa Usa ka No-Code App ang 18,000 nga Gumagamit sa Mga Panguna nga Kakulangan sa Seguridad

Ang saad sa paghimo og fully functional nga app sa mga minuto gamit ang AI-powered tools nakadani sa mga negosyante, solopreneur, ug side-project enthusiast sa tibuok kalibutan. Apan ang usa ka bag-o nga insidente nga naglambigit sa usa ka Lovable-host nga aplikasyon nakahatag ug bugnaw nga tubig sa dili mapugngan nga kadasig. Usa ka "vibe coded" nga app - halos gihimo pinaagi sa AI nga mga prompt nga adunay gamay nga pagdumala sa tawo - nadiskobrehan nga adunay elementarya nga kahuyangan sa seguridad nga nagbilin sa personal nga datos sa halos 18,000 ka tiggamit nga naladlad sa bisan kinsa nga nahibal-an kung asa mangita. Walay sopistikado nga pag-hack ang gikinahanglan. Walay zero-day exploits. Panguna nga mga sayup nga nakuha sa bisan unsang junior developer sa usa ka pagrepaso sa code. Ang insidente nagdilaab sa usa ka mabangis nga debate bahin sa kung asa nahulog ang linya tali sa pagdemokratize sa software development ug sa walay pagtagad nga pagpadala sa mga produkto nga nagbutang sa tinuod nga mga tawo sa peligro.

Unsa ang Vibe Coding, ug Nganong Mibuto Kini sa Popularidad?

Ang "Vibe coding" usa ka termino nga gimugna aron ihulagway ang praktis sa pagtukod og software halos sa kinatibuk-an pinaagi sa natural-language nga mga pag-aghat sa AI tools — pagdawat sa bisan unsa nga mamugna sa modelo, panagsa ra magbasa sa nagpahiping code, ug mag-usab-usab pinaagi sa paghulagway kung unsa ang imong gusto kaysa sa pagsabut kung giunsa kini molihok. Ang mga plataporma sama sa Lovable, Bolt, ug Replit Agent naghimo niini nga pamaagi nga ma-access sa bisan kinsa nga adunay ideya ug credit card. Ang mga resulta mahimong nindot tan-awon: gipasinaw nga mga UI, nagtrabaho nga authentication flow, ug database-connected features — ang tanan namugna sulod sa mga oras imbes nga mga semana.

Ang pag-apelar klaro. Sumala sa mga banabana sa industriya, kapin sa 70% sa bag-ong SaaS micro-apps nga gilusad niadtong 2025 naglambigit sa pipila ka porma sa AI-assisted code generation. Para sa mga non-technical founder, ang vibe coding nagwagtang sa labing makahahadlok nga babag sa pagsulod: aktuwal nga pagsulat og code. Apan ang pamaagi adunay sukaranan nga sayup. Kung dili masabtan sa mga magtutukod ang code nga nagpadagan sa ilang produkto, dili usab nila masabtan ang mga peligro nga naa sa sulod niini. Ug sama sa gipakita sa Lovable nga insidente, ang maong mga risgo mahimong grabe.

Ang kultural nga momentum luyo sa vibe coding nakamugna usab ug delikado nga asoy — nga ang pagsabot nga code kay opsyonal na karon, nga ang seguridad usa ka butang nga "gidumalahan" sa AI, ug ang paspas nga pagpadala mas importante kay sa luwas nga pagpadala. Kini nga mga pangagpas mao gyud ang hinungdan sa 18,000 ka tawo nga nabutyag ang ilang datos.

Anatomy of the Breach: Unsay Tinuod nga Nasayop

Ang gibutyag nga aplikasyon, nga gi-host sa plataporma ni Lovable, gikataho nga nag-antos sa usa ka konstelasyon sa elementarya nga mga kapakyasan sa seguridad. Dili kini mga exotic nga mga kahuyangan nga nanginahanglan mga advanced nga pamaagi sa pagpahimulos. Mga sayup sila sa libro - ang klase nga nasakup sa una nga kapitulo sa bisan unsang giya sa seguridad sa web. Lakip sa mga sayup nga nahibal-an mao ang dili tinuod nga mga endpoint sa API nga nagbalik sa tibuuk nga mga rekord sa tiggamit, mga pangutana sa database nga wala gipatuman ang seguridad sa lebel sa linya, ang mga yawe sa API nga direkta nga gi-hardcode sa JavaScript sa kilid sa kliyente, ug usa ka hingpit nga pagkawala sa limitasyon sa rate sa sensitibo nga mga endpoint.

Ang mga tigdukiduki sa seguridad nga nagsusi sa aplikasyon nakamatikod nga ang personal nga impormasyon — apil ang mga email address, mga ngalan, numero sa telepono, ug sa pipila ka mga kaso partial nga mga detalye sa pagbayad — mahimong makuha pinaagi lamang sa pag-uli pinaagi sa mga sequential user ID sa mga tawag sa API. Walay login gikinahanglan. Walay token nga gikinahanglan. Ang datos sa panguna publiko sa bisan kinsa nga nagsusi sa mga hangyo sa network sa mga himan sa developer sa ilang browser.

Ang labing delikado nga mga kahuyangan sa seguridad dili mao ang nanginahanglan og henyo aron mapahimuslan — sila ang labing sukaranan nga bisan kinsa nga adunay browser mahimong mapandol niini. Kung dili nimo basahon ang code nga gihimo sa imong AI, dili ka lang magputol. Nagtukod ka ug balay nga walay mga kandado ug naglaum nga walay mosulay sa pultahan.

Ang Root Hinungdan: Pagsalig nga Walay Pagpamatuod

Sa kinauyokan niini nga insidente anaa ang usa ka sumbanan nga gipasidan-an sa mga propesyonal sa seguridad sukad nga ang AI code generation tools unang nakakuha og traction. Ang developer - o mas tukma, ang dali nga inhenyero - hingpit nga nagsalig sa output sa AI. Kung ang app ingon og kini nagtrabaho, kini gituohan nga andam na sa produksiyon. Apan ang "mga buhat" ug "secure" lahi kaayo nga mga sumbanan. Mahimong ibalik sa usa ka endpoint sa API ang husto nga datos alang sa husto nga tiggamit ug dungan nga ibalik ang parehas nga datos sa matag dili awtorisado nga bisita sa internet.

Ang AI code generators kay na-optimize para sa functional correctness, dili adversarial resilience. Naghimo sila og code nga makatagbaw sa aghat, dili code nga nagpaabut kung giunsa kini pag-abuso sa usa ka malisyosong aktor. Ang row-level nga mga palisiya sa seguridad, input sanitization, authentication middleware, CORS configuration, ug rate limiting mao ang tanan nga mga kabalaka nga nagkinahanglan og tinuyo, security-aware nga pagpatuman. Talagsa ra sila nga natural nga mogawas gikan sa mga pag-aghat sama sa "build me a user dashboard."

Ang Lovable nga plataporma mismo naghatag sa Supabase isip backend niini, nga nagtanyag og lig-on nga mga bahin sa seguridad — lakip ang row-level security (RLS) nga mga palisiya. Apan kini nga mga bahin kinahanglan nga klaro nga magamit ug husto nga i-configure. Ang AI-generated code niini nga kaso napakyas sa pagpagana sa RLS o sa sayop nga pag-configure niini, paghimo sa usa ka lapad nga bukas nga layer sa datos sa likod sa usa ka pinasinaw nga frontend. Talagsaon ang leksyon: Ang mga kapabilidad sa seguridad sa plataporma walay kalabotan kung dili kini gamiton sa namugna nga code.

Nganong Kini Usa ka Systemic nga Problema, Dili Usa ka Isolated Insidente

Makapahupay nga isalikway kini nga usa ka kapakyasan sa usa ka walay pagtagad nga indibidwal. Apan ang ebidensya nagsugyot nga ang problema kay structural. Usa ka 2025 nga pagtuon sa Stanford nakit-an nga ang mga nag-develop nga naggamit sa mga katabang sa AI naghimo og code nga adunay 40% nga mas daghang kahuyangan sa seguridad kaysa sa mga coding nga mano-mano - ug kritikal, mibati nga mas masaligon sa seguridad sa ilang code. Kini nga gintang sa pagsalig mao ang tinuod nga peligro. Ang mga vibe coders dili lang magpadala ug insecure code; sila tinuod nga nagtuo nga sila nakatukod ug usa ka butang nga lig-on.

Ang pagdagsang sa AI-built apps nagpasabot nga aduna nay liboan ka mga production applications nga nagdumala sa tinuod nga user data nga wala pa makaagi ug security review, penetration test, o bisan usa ka manual code audit. Daghan niini nga mga app gitukod sa solo nga mga founder nga kulang sa teknikal nga background aron masusi kung unsa ang gihimo sa AI. Ang pag-atake dili usa ka app — kini usa ka tibuuk nga henerasyon sa software nga gitukod sa paghunahuna nga ang output sa AI sa tinuud kasaligan.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Hunahunaa ang kasagarang dagan sa pagtrabaho sa vibe coding ug kung diin ang seguridad nahulog sa mga liki:

  1. Maabtik nga pag-uswag: Gihulagway sa tigtukod ang mga feature sa natural nga pinulongan, nga walay paghisgot sa mga kinahanglanon sa seguridad, mga sumbanan sa pag-authenticate, o mga polisiya sa pagpanalipod sa datos.
  2. Pagdawat nga walay pagrepaso: Ang namugna nga code gisulayan alang sa pagpaandar ("nagana ba ang buton?") apan wala gayud gi-audit alang sa seguridad ("kinsa pa ang maka-access niini nga datos?").
  3. Pabilis nga pag-deploy: Ang app mahimong live sulod sa mga oras o mga adlaw, nga walay staging environment, walay security testing, ug walay monitoring alang sa dili awtorisadong access.
  4. Pag-scale gamit ang exposure: Samtang nag-sign up ang mga user ug naghatag og personal nga data, ang blast radius sa bisan unsang vulnerability modako — apan ang builder walay makita sa posibleng mga hulga.
  5. Pagdiskubre sa mga tagagawas: Ang mga sayup sa seguridad sa katapusan makit-an — dili sa nagtukod, apan sa mga tigdukiduki, kakompetensya, o malisyoso nga mga aktor.

Unsa ang Tinuod nga Responsable nga Pagtukod sa App

Wala niini nagpasabot nga ang AI-assisted development kay delikado kaayo, o nga ang mga non-technical founder dili makabuhat ug mga lehitimong produkto. Nagpasabut kini nga ang pamaagi nanginahanglan mga guardrail, kahibalo, ug - sa daghang mga kaso - usa ka kaandam sa paggamit sa natukod nga mga plataporma imbes nga magtukod gikan sa wala. Ang mga sukaranan sa seguridad nga napakyas sa pagpatuman sa gibutyag nga app dili mga opsyonal nga bahin. Kini ang mga stake sa lamesa alang sa bisan unsang aplikasyon nga nagdumala sa datos sa tiggamit.

Alang sa mga magtutukod ug gagmay nga mga operator sa negosyo nga nanginahanglan software sa pagpadagan sa ilang mga operasyon — CRM, pag-invoice, pag-book, pagdumala sa team — ang labing luwas nga agianan sa kasagaran dili paghimo usa ka naandan nga app. Ang mga plataporma sama sa Mewayznaglungtad nga tukma aron mawagtang kini nga risgo. Uban sa 207 nga pre-built modules nga naglangkob sa tanan gikan sa payroll ug HR ngadto sa fleet management, analytics, ug client portals, ang Mewayz naghatag sa functionality nga gigugol sa mga vibe coders sa mga semana sa pagsulay sa pagsundog - gawas sa enterprise-grade nga seguridad, tukma nga pag-authenticate, encrypted data handling, ug usa ka dedikado nga team sa engineering nga nagmintinar sa imprastraktura. Ang 138,000 ka tiggamit nga anaa na sa plataporma nakabenepisyo gikan sa mga gawi sa seguridad nga walay solo nga founder nga nag-aghat ug AI sa tungang gabii nga makatupong sa tinuod.

Pretso ang kalkulasyon: kung ang imong kinauyokan nga negosyo dili software development, ang mga oras nga gigugol sa vibe coding sa custom nga app mas maayong ipuhunan sa aktuwal nga pagpadagan sa imong negosyo — gamit ang mga himan nga gihimo, gisulayan, gi-audit, ug gimentinar sa mga propesyonal.

Mga Leksyon para sa AI-Assisted Development Era

Ang Lovable nga insidente dili rason nga biyaan ang AI-assisted development sa hingpit. Ang paghimo sa AI code usa ka gamhanan nga himan nga tinuud nga nagpadali sa paghimo sa software. Apan ang usa ka himan luwas ra sama sa mga kamot nga nagkupot niini. Ang usa ka chainsaw bililhon alang sa usa ka nabansay nga arborist ug katalagman alang sa usa nga wala pa makagunit niini. Ang sama nga prinsipyo magamit sa shipping code nga wala pa nimo mabasa sa mga production server nga nagdumala sa tinuod nga data sa user.

Alang niadtong mopili sa paghimo og custom nga mga aplikasyon nga adunay tabang sa AI, ang minimum nga praktikal nga checklist sa seguridad dili ma-negotiable:

  • Enable and verify row-level security on every database table that contains user data — then test it by trying to access other users' records.
  • Ayaw gayud ibutyag ang API keys sa client-side code. Gamita ang server-side environment variables ug API nga mga ruta aron itago ang mga sekreto sa browser.
  • Ipatuman ang middleware sa panghimatuod sa matag endpoint nga nagbalik o nag-usab sa datos sa tiggamit. Pagsulay gamit ang dili tinuod nga mga hangyo.
  • Idugang ang limitasyon sa rate aron mapugngan ang mga pag-atake sa enumeration ug brute-force nga pagsulay sa pag-login ug mga endpoint sa datos.
  • Pagdalag usa ka batakang pag-audit sa seguridad sa dili pa ilunsad — bisan ang libre nga mga himan sama sa OWASP ZAP makadakop sa labing grabe nga mga kahuyangan.
  • Basaha ang nahimo nga code. Kung dili nimo kini masabtan, pag-hire og tawo nga makarepaso niini sa dili pa nimo ibutang ang tinuod nga datos sa tiggamit niini.

Ang 18,000 ka tiggamit kansang datos nabutyag wala nagpalista kay nahibalo nga sila nagsulay sa beta sa eksperimento sa AI sa usa ka tawo. Gisaligan nila ang app sa ilang kasayuran tungod kay kini tan-awon nga propesyonal ug naglihok sa husto. Kana nga pagsalig gilapas dili sa usa ka sopistikado nga cyberattack, apan pinaagi sa pagpabaya nga gisul-ob ingon nga kabag-ohan. Samtang ang mga galamiton sa pagpalambo nga gipadagan sa AI nagpadayon sa pagpaubos sa babag sa pagtukod og software, ang industriya — ug ang indibidwal nga mga tigtukod — kinahanglang magsiguro nga ang babag sa pagpadala sa luwas nga software dili mawala niini.

Ang Ubos nga Linya: Ang Katulin nga Wala’y Seguridad Maoy Pagkawalay-pagtagad

Ang pagdani sa paghimo sa usa ka kompleto nga produkto sa SaaS sa usa ka katapusan sa semana nga wala’y gamit gawas sa mga pag-aghat sa AI dili ikalimod. Apan ang Lovable nga insidente naghimo sa usa ka butang nga masakit nga tin-aw: ang katulin sa imong paghimo og app walay kahulogan kung dili nimo magarantiya ang kaluwasan sa mga tawo nga naggamit niini. Alang sa matag vibe-coded nga istorya sa kalampusan nga gipaambit sa social media, adunay dili maihap nga gidaghanon sa mga aplikasyon nga naglingkod sa produksiyon karon nga adunay parehas nga mga kahuyangan — naghulat lang nga madiskubre.

Mapilion man nimo nga magtukod gamit ang tabang sa AI ug mamuhunan sa hustong mga pagrepaso sa seguridad, o mopili sa usa ka nasulayan sa gubat nga plataporma sama sa Mewayz nga nagdumala sa imprastraktura sa seguridad aron makatutok ka sa pagpatubo sa imong negosyo, pareho ra ang kinahanglanon: tagda ang datos sa imong mga tiggamit sa pagtahod nga angay niini. Sa 2026, "Wala ko nahibal-an nga ang code dili sigurado" dili na usa ka pasangil. Kini usa ka tulubagon.

Mga Pangutana nga Kanunayng Gipangutana

Unsa ang "vibe coding" ug nganong delikado kini?

Ang vibe coding nagtumong sa paghimo og software gamit ang AI tools pinaagi sa paghubit sa imong gusto sa natural nga lengguwahe, nga adunay gamay nga manual code review. Ang risgo mao nga ang AI-generated code kasagaran kulang sa tukma nga mga sukaranan sa seguridad sama sa authentication, input validation, ug data encryption. Kung wala ang eksperyensiyadong mga developer nga nagrepaso sa output, ang mga kritikal nga kahuyangan mahimong molusot nga dili mamatikdan, nga posibleng magladlad sa liboan ka tiggamit sa mga paglapas sa datos ug mga paglapas sa privacy.

Giunsa nga gibutyag sa Lovable-hosted app ang 18,000 ka tiggamit?

Ang app adunay sukaranan nga mga sayup sa seguridad lakip ang gibutyag nga mga yawe sa API, nawala nga pagkumpirma sa mga endpoint sa database, ug dili igo nga mga kontrol sa pag-access. Kini ang sukaranan nga mga kahuyangan nga makuha sa bisan kinsa nga eksperyensiyado nga developer sa panahon sa pagrepaso sa code. Tungod kay ang app una nga gihimo pinaagi sa AI prompt nga walay bug-os nga pag-audit sa seguridad, ang mga tig-atake mahimong maka-access sa data sa user direkta — nagpasiugda kon nganong ang automated code generation nagkinahanglan gihapon og human oversight ug security testing.

Makaseguro ba ang AI-built apps para magamit sa produksiyon?

Oo, apan sa tukma nga mga pamaagi sa seguridad nga gipatong sa ibabaw. Ang paghimo sa AI code usa ka punto sa pagsugod, dili usa ka nahuman nga produkto. Ang mga negosyo nanginahanglan mga pagsusi sa code, pagsulay sa pagsulod, ug luwas nga imprastraktura. Ang mga plataporma sama sa Mewayz nagpagaan niini pinaagi sa paghatag og pre-built, security-audited business OS nga adunay 207 modules nga nagsugod sa $19/mo — para makakuha ka og production-ready nga mga himan nga walay pagsulat sa bulnerable code gikan sa wala.

Unsa ang kinahanglan nga makat-unan sa mga negosyo gikan niini nga panghitabo?

Ang importante nga takeaway mao nga ang katulin dili gayud moabut sa gasto sa seguridad. Sa dili pa ilunsad ang bisan unsang app nga nagdumala sa datos sa tiggamit, pagpahigayon og bug-os nga pag-audit sa seguridad bisan pa kung giunsa kini paghimo. Ikonsiderar ang paggamit sa natukod nga mga plataporma nga adunay napamatud-an nga mga track record sa seguridad imbes nga i-deploy ang wala pa nasulayan nga AI-generated code. Ang pagpanalipod sa pagsalig sa user mas bililhon kay sa pagdaginot ug pipila ka oras nga oras sa pag-develop.