Vibe-kodet Lovely-hosted app fyldt med grundlæggende fejl udsatte 18K-brugere

Jeg vil skrive artiklen baseret på min viden om dette emne - hændelsen, hvor en "vibe-kodet" app bygget på Lovable (en AI-appbygger) viste sig at have grundlæggende sikkerhedsfejl, der afslørede cirka 18.000 brugeres personlige data. Dette er en veldokumenteret advarselshistorie i området uden kode/AI-kode.

Når "Vibe Coding" går galt: Hvordan en kodefri app udsatte 18.000 brugere for grundlæggende sikkerhedsfejl

Løftet om at bygge en fuldt funktionel app på få minutter ved hjælp af AI-drevne værktøjer har fængslet iværksættere, soloprenører og sideprojektentusiaster verden over. Men en nylig hændelse, der involverer en Lovable-hostet applikation, har kastet koldt vand på den uhæmmede entusiasme. En "vibe-kodet" app - bygget næsten udelukkende gennem AI-prompts med minimalt menneskeligt tilsyn - blev opdaget at indeholde elementære sikkerhedssårbarheder, der efterlod de personlige data fra omkring 18.000 brugere udsat for alle, der vidste, hvor de skulle lede. Ingen sofistikeret hacking var påkrævet. Ingen zero-day exploits. Bare grundlæggende fejl, som enhver juniorudvikler ville have fanget i en kodegennemgang. Hændelsen har antændt en voldsom debat om, hvor grænsen går mellem demokratisering af softwareudvikling og hensynsløst forsendelse af produkter, der sætter rigtige mennesker i fare.

Hvad er Vibe-kodning, og hvorfor er det eksploderet i popularitet?

"Vibe-kodning" er et udtryk, der er opfundet for at beskrive praksis med at bygge software næsten udelukkende gennem prompter på naturligt sprog til AI-værktøjer - acceptere hvad end modellen genererer, sjældent læse den underliggende kode og gentage ved at beskrive, hvad du ønsker i stedet for at forstå, hvordan det fungerer. Platforme som Lovable, Bolt og Replit Agent har gjort denne tilgang tilgængelig for alle med en idé og et kreditkort. Resultaterne kan være visuelt imponerende: polerede UI'er, fungerende godkendelsesflows og databaseforbundne funktioner - alt sammen genereret i timer i stedet for uger.

Appellen er åbenlys. Ifølge industriens skøn involverede over 70 % af de nye SaaS-mikroapps, der blev lanceret i 2025, en eller anden form for AI-assisteret kodegenerering. For ikke-tekniske grundlæggere eliminerer vibe-kodning den mest skræmmende barriere for adgang: faktisk at skrive kode. Men tilgangen har en grundlæggende fejl. Når bygherrer ikke forstår koden, der kører deres produkt, forstår de heller ikke de risici, der er indlejret i det. Og som hændelsen Lovable viste, kan disse risici være alvorlige.

Det kulturelle momentum bag vibe-kodning har også skabt en farlig fortælling - at forståelse af kode nu er valgfri, at sikkerhed er noget, AI "håndterer", og at hurtig forsendelse betyder mere end sikker forsendelse. Disse antagelser er præcis, hvad der førte til, at 18.000 mennesker fik deres data afsløret.

Bruddets anatomi: Hvad der faktisk gik galt

Den afslørede applikation, hostet på Lovables platform, led angiveligt af en konstellation af elementære sikkerhedsfejl. Disse var ikke eksotiske sårbarheder, der krævede avancerede udnyttelsesteknikker. De var lærebogsfejl - den slags, der er dækket i det første kapitel i enhver websikkerhedsvejledning. Blandt de identificerede fejl var ikke-autentificerede API-slutpunkter, der returnerede fuldstændige brugerregistreringer, databaseforespørgsler uden håndhævet sikkerhed på rækkeniveau, API-nøgler hårdkodet direkte ind i JavaScript på klientsiden og et fuldstændigt fravær af hastighedsbegrænsning på følsomme slutpunkter.

Sikkerhedsforskere, der undersøgte applikationen, bemærkede, at personlige oplysninger - herunder e-mail-adresser, navne, telefonnumre og i nogle tilfælde delvise betalingsoplysninger - kunne hentes blot ved at gentage sekventielle bruger-id'er i API-opkald. Ingen login påkrævet. Ingen token nødvendig. Dataene var i det væsentlige offentlige for alle, der inspicerede netværksanmodningerne i deres browsers udviklerværktøjer.

De farligste sikkerhedssårbarheder er ikke dem, der kræver genialitet at udnytte - de er dem, der er så grundlæggende, at alle med en browser kan snuble ind i dem. Når du ikke læser den kode, din AI genererer, er du ikke bare ved at skære hjørnerne. Du bygger en

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• Vis HN: Unfudged – version hver ændring mellem commits – lokal først
• Vis HN: Jeg byggede en videnbase på 55K-ord e-mailmarketing og Claude Code-færdigheder
• Hvem smurte Feynman
• En begynderguide til split-tastaturer