Hacker News

वाइब कोडित लवएबल-होस्ट किया गया ऐप बुनियादी खामियों से भरा पड़ा है, जिसके 18 हजार उपयोगकर्ता उजागर हुए हैं

एक लवेबल-होस्टेड वाइब कोडेड ऐप ने बुनियादी सुरक्षा खामियों के कारण 18000 उपयोगकर्ताओं को उजागर किया। जानें कि एआई-जनरेटेड कोड को सुरक्षित अनुप्रयोगों के लिए मानव निरीक्षण की आवश्यकता क्यों है।

4 मिनट पढ़ा

Mewayz Team

Editorial Team

Hacker News

मैं इस विषय पर अपने ज्ञान के आधार पर लेख लिखूंगा - वह घटना जहां लवेबल (एक एआई ऐप बिल्डर) पर निर्मित "वाइब कोडेड" ऐप में बुनियादी सुरक्षा खामियां पाई गईं, जिससे लगभग 18,000 उपयोगकर्ताओं का व्यक्तिगत डेटा उजागर हो गया। यह नो-कोड/एआई-कोड क्षेत्र में एक अच्छी तरह से प्रलेखित चेतावनी कहानी है।

जब "वाइब कोडिंग" गलत हो जाती है: कैसे एक बिना कोड वाले ऐप ने 18,000 उपयोगकर्ताओं को बुनियादी सुरक्षा खामियों से अवगत कराया

एआई-संचालित टूल का उपयोग करके मिनटों में पूरी तरह कार्यात्मक ऐप बनाने के वादे ने दुनिया भर के उद्यमियों, एकल उद्यमियों और साइड-प्रोजेक्ट उत्साही लोगों को आकर्षित किया है। लेकिन लवेबल द्वारा होस्ट किए गए एप्लिकेशन से जुड़ी एक हालिया घटना ने बेलगाम उत्साह पर पानी फेर दिया है। एक "वाइब कोडेड" ऐप - जिसे लगभग पूरी तरह से न्यूनतम मानवीय निरीक्षण के साथ एआई संकेतों के माध्यम से बनाया गया था - में प्राथमिक सुरक्षा कमजोरियां पाई गईं, जिससे लगभग 18,000 उपयोगकर्ताओं का व्यक्तिगत डेटा किसी के भी संपर्क में आ गया, जो जानता था कि कहां देखना है। किसी परिष्कृत हैकिंग की आवश्यकता नहीं थी. कोई शून्य-दिवसीय कारनामे नहीं। बस बुनियादी खामियाँ जो किसी भी जूनियर डेवलपर ने कोड समीक्षा में पकड़ी होंगी। इस घटना ने इस बात पर तीखी बहस छेड़ दी है कि सॉफ्टवेयर विकास को लोकतांत्रिक बनाने और वास्तविक लोगों को जोखिम में डालने वाले उत्पादों की लापरवाही से शिपिंग के बीच की सीमा कहां है।

वाइब कोडिंग क्या है और इसकी लोकप्रियता क्यों बढ़ी है?

"वाइब कोडिंग" एक ऐसा शब्द है जो लगभग पूरी तरह से एआई टूल्स के लिए प्राकृतिक-भाषा संकेतों के माध्यम से सॉफ्टवेयर बनाने के अभ्यास का वर्णन करने के लिए गढ़ा गया है - जो भी मॉडल उत्पन्न करता है उसे स्वीकार करना, अंतर्निहित कोड को शायद ही कभी पढ़ना, और यह कैसे काम करता है यह समझने के बजाय आप जो चाहते हैं उसका वर्णन करके पुनरावृत्ति करना। लवेबल, बोल्ट और रेप्लिट एजेंट जैसे प्लेटफ़ॉर्म ने इस दृष्टिकोण को किसी भी विचार और क्रेडिट कार्ड वाले किसी भी व्यक्ति के लिए सुलभ बना दिया है। परिणाम दृष्टिगत रूप से प्रभावशाली हो सकते हैं: परिष्कृत यूआई, कार्यशील प्रमाणीकरण प्रवाह, और डेटाबेस-कनेक्टेड सुविधाएँ - सभी हफ्तों के बजाय घंटों में उत्पन्न होते हैं।

अपील स्पष्ट है. उद्योग के अनुमान के अनुसार, 2025 में लॉन्च किए गए 70% से अधिक नए SaaS माइक्रो-ऐप में किसी न किसी रूप में AI-सहायता कोड पीढ़ी शामिल थी। गैर-तकनीकी संस्थापकों के लिए, वाइब कोडिंग प्रवेश के लिए सबसे डरावनी बाधा को समाप्त करती है: वास्तव में कोड लिखना। लेकिन इस दृष्टिकोण में एक मूलभूत दोष है। जब बिल्डर अपने उत्पाद को चलाने वाले कोड को नहीं समझते हैं, तो वे इसमें निहित जोखिमों को भी नहीं समझते हैं। और जैसा कि लवेबल घटना ने प्रदर्शित किया, वे जोखिम गंभीर हो सकते हैं।

वाइब कोडिंग के पीछे की सांस्कृतिक गति ने एक खतरनाक कथा भी बनाई है - कि कोड को समझना अब वैकल्पिक है, कि सुरक्षा कुछ ऐसी चीज है जिसे एआई "संभालता है", और यह कि तेजी से शिपिंग सुरक्षित रूप से शिपिंग से अधिक मायने रखती है। इन धारणाओं के कारण ही 18,000 लोगों का डेटा उजागर हुआ।

💡 क्या आप जानते हैं?

Mewayz एक प्लेटफ़ॉर्म में 8+ बिजनेस टूल्स की जगह लेता है

सीआरएम · इनवॉइसिंग · एचआर · प्रोजेक्ट्स · बुकिंग · ईकॉमर्स · पीओएस · एनालिटिक्स। निःशुल्क सदैव योजना उपलब्ध।

निःशुल्क प्रारंभ करें →

उल्लंघन की शारीरिक रचना: वास्तव में क्या गलत हुआ

लवेबल के प्लेटफ़ॉर्म पर होस्ट किया गया उजागर एप्लिकेशन कथित तौर पर प्राथमिक सुरक्षा विफलताओं के एक समूह से पीड़ित था। ये उन्नत शोषण तकनीकों की आवश्यकता वाली विदेशी कमजोरियाँ नहीं थीं। वे पाठ्यपुस्तक की गलतियाँ थीं - जैसा कि किसी भी वेब सुरक्षा गाइड के पहले अध्याय में शामिल किया गया है। पहचानी गई खामियों में अप्रमाणित एपीआई एंडपॉइंट थे जो पूर्ण उपयोगकर्ता रिकॉर्ड लौटाते थे, बिना किसी पंक्ति-स्तरीय सुरक्षा के डेटाबेस क्वेरीज़, एपीआई कुंजियाँ सीधे क्लाइंट-साइड जावास्क्रिप्ट में हार्डकोड की गई थीं, और संवेदनशील एंडपॉइंट पर दर सीमित करने की पूर्ण अनुपस्थिति थी।

एप्लिकेशन की जांच करने वाले सुरक्षा शोधकर्ताओं ने नोट किया कि व्यक्तिगत जानकारी - जिसमें ईमेल पते, नाम, फोन नंबर और कुछ मामलों में आंशिक भुगतान विवरण शामिल हैं - को एपीआई कॉल में अनुक्रमिक उपयोगकर्ता आईडी के माध्यम से पुनरावृत्त करके पुनर्प्राप्त किया जा सकता है। कोई लॉगिन आवश्यक नहीं है. किसी टोकन की आवश्यकता नहीं. डेटा अनिवार्य रूप से उन सभी के लिए सार्वजनिक था, जिन्होंने अपने ब्राउज़र के डेवलपर टूल में नेटवर्क अनुरोधों का निरीक्षण किया था।

सबसे खतरनाक सुरक्षा कमजोरियाँ वे नहीं हैं जिनका फायदा उठाने के लिए प्रतिभा की आवश्यकता होती है - वे इतनी बुनियादी हैं कि ब्राउज़र वाला कोई भी व्यक्ति उनमें फंस सकता है। जब आप अपने AI द्वारा जनरेट किए गए कोड को नहीं पढ़ते हैं, तो आप केवल लापरवाही नहीं कर रहे हैं। आप एक निर्माण कर रहे हैं

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Mewayz मुफ़्त आज़माएं

सीआरएम, इनवॉइसिंग, प्रोजेक्ट्स, एचआर और अधिक के लिए ऑल-इन-वन प्लेटफॉर्म। कोई क्रेडिट कार्ड आवश्यक नहीं।

निःशुल्क प्रारंभ करें डेमो आज़माएं

संबंधित गाइड

POS और भुगतान गाइड →

कहीं भी भुगतान स्वीकार करें: POS टर्मिनल्स, ऑनलाइन चेकआउट, मल्टी-करेंसी और रियल-टाइम इन्वेंटरी सिंक।

आज ही अपने व्यवसाय का प्रबंधन अधिक स्मार्ट तरीके से शुरू करें।

30,000+ व्यवसायों से जुड़ें। सदैव मुफ़्त प्लान · क्रेडिट कार्ड की आवश्यकता नहीं।

निःशुल्क प्रारंभ करें → डेमो देखें
क्या यह उपयोगी पाया गया? इसे शेयर करें।
X / Twitter LinkedIn Facebook WhatsApp

क्या आप इसे व्यवहार में लाने के लिए तैयार हैं?

30,000+ व्यवसायों में शामिल हों जो मेवेज़ का उपयोग कर रहे हैं। सदैव निःशुल्क प्लान — कोई क्रेडिट कार्ड आवश्यक नहीं।

मुफ़्त ट्रायल शुरू करें →

संबंधित आलेख

Hacker News

साइंस फिक्शन मर रहा है. विज्ञान कथा के बाद लंबे समय तक जीवित रहें?

Mar 8, 2026

Hacker News

क्लाउड वीएम बेंचमार्क 2026: 7 से अधिक प्रदाताओं के 44 वीएम प्रकारों के लिए प्रदर्शन/कीमत

Mar 8, 2026

Hacker News

जेनेरिकक्लोजर के साथ ट्रैम्पोलिनिंग निक्स

Mar 8, 2026

Hacker News

लिस्प-शैली C++ टेम्पलेट मेटा प्रोग्रामिंग

Mar 8, 2026

Hacker News

AI का उपयोग करने वाले डेवलपर्स अधिक समय तक काम क्यों कर रहे हैं?

Mar 8, 2026

Hacker News

हेस्टिंग्स की लड़ाई कितनी महत्वपूर्ण थी?

Mar 8, 2026

कार्रवाई करने के लिए तैयार हैं?

आज ही अपना मुफ़्त Mewayz ट्रायल शुरू करें

ऑल-इन-वन व्यवसाय प्लेटफॉर्म। क्रेडिट कार्ड की आवश्यकता नहीं।

निःशुल्क प्रारंभ करें →

14-दिन का निःशुल्क ट्रायल · क्रेडिट कार्ड नहीं · कभी भी रद्द करें