Vibe kódolt, szerethető-hostolt alkalmazás, amely tele van alapvető hibákkal, 18 ezer felhasználót tárt fel

A cikket a témával kapcsolatos ismereteim alapján írom meg – az az eset, amikor a Lovable-re (egy mesterséges intelligencia-alkalmazás-készítőre) épített "vibe coded" alkalmazás alapvető biztonsági hibákat tartalmazott, amelyek körülbelül 18 000 felhasználó személyes adatait tettek közzé. Ez egy jól dokumentált figyelmeztető mese a kód nélküli/AI-kód térben.

Amikor a "Vibe Coding" rosszul sül el: Hogyan tett ki egy kód nélküli alkalmazás 18 000 felhasználót az alapvető biztonsági hibáknak

Az az ígéret, hogy egy teljesen működőképes alkalmazást percek alatt megépítenek mesterségesintelligencia-alapú eszközökkel, világszerte lenyűgözte a vállalkozókat, az egyéni vállalkozókat és a mellékprojektek rajongóit. De egy közelmúltban történt incidens, amely egy Lovable által üzemeltetett alkalmazást érintett, hideg vizet dobott a féktelen lelkesedésbe. Egy "vibe kódolt" alkalmazást – amely szinte teljes egészében mesterséges intelligencia utasításokkal, minimális emberi felügyelet mellett építettek fel – olyan elemi biztonsági réseket fedeztek fel, amelyek nagyjából 18 000 felhasználó személyes adatait tettek elérhetővé bárki számára, aki tudta, hol keresse. Nem volt szükség kifinomult hackelésre. Nincs nulladik napi exploit. Csak alapvető hibák, amelyeket minden fiatal fejlesztő észrevett volna egy kódellenőrzés során. Az incidens heves vitát robbantott ki arról, hogy hol húzódik a határ a szoftverfejlesztés demokratizálása és a valódi embereket veszélyeztető termékek meggondolatlan szállítása között.

Mi az a Vibe kódolás, és miért nőtt robbanásszerűen népszerűvé?

A „vibe kódolás” kifejezés azt a gyakorlatot írja le, hogy szinte teljes egészében a mesterséges intelligencia-eszközök természetes nyelvű felszólításain keresztül készítenek szoftvereket – elfogadják, amit a modell generál, ritkán olvassa el a mögöttes kódot, és a működésének megértése helyett ismételje meg a kívánt leírást. Az olyan platformok, mint a Lovable, a Bolt és a Replit Agent, bárki számára elérhetővé tették ezt a megközelítést, akinek van ötlete és hitelkártyája. Az eredmények vizuálisan lenyűgözőek lehetnek: csiszolt felhasználói felületek, működő hitelesítési folyamatok és adatbázishoz kapcsolódó szolgáltatások – mindez órák helyett hetek alatt.

A fellebbezés nyilvánvaló. Iparági becslések szerint a 2025-ben elindított új SaaS-mikroalkalmazások több mint 70%-a tartalmazott valamilyen mesterséges intelligencia által támogatott kódgenerálást. A nem műszaki alapítók számára a vibrációs kódolás megszünteti a legfélelmetesebb belépési akadályt: a kódírást. De a megközelítésnek van egy alapvető hibája. Amikor az építők nem értik a terméküket futtató kódot, nem értik a benne rejlő kockázatokat sem. És ahogy a Lovable incidens is bemutatta, ezek a kockázatok súlyosak lehetnek.

A hangulatkódolás mögött meghúzódó kulturális lendület szintén veszélyes narratívát hozott létre – hogy a kód megértése ma már nem kötelező, a biztonság az, amit az AI „kezel”, és hogy a gyors szállítás fontosabb, mint a biztonságos szállítás. Pontosan ezek a feltételezések vezettek ahhoz, hogy 18 000 ember adatait nyilvánosságra hozták.

A jogsértés anatómiája: mi történt valójában?

A Lovable platformján tárolt kitett alkalmazás állítólag elemi biztonsági hibák konstellációjában szenvedett. Ezek nem voltak egzotikus sebezhetőségek, amelyek fejlett kihasználási technikákat igényeltek. Tankönyvi hibák voltak – amilyeneket bármelyik webbiztonsági útmutató első fejezete tárgyal. A feltárt hibák között szerepeltek a nem hitelesített API-végpontok, amelyek teljes felhasználói rekordokat adtak vissza, az adatbázis-lekérdezések sorszintű biztonság nélkül, az API-kulcsok, amelyeket közvetlenül az ügyféloldali JavaScriptbe kódoltak, és a sebességkorlátozás teljes hiánya az érzékeny végpontokon.

Az alkalmazást megvizsgáló biztonsági kutatók megjegyezték, hogy a személyes adatok – beleértve az e-mail címeket, neveket, telefonszámokat és bizonyos esetekben a fizetési részleteket – egyszerűen lekérhetők az API-hívások során a szekvenciális felhasználói azonosítókon keresztül. Nincs szükség bejelentkezésre. Nincs szükség tokenre. Az adatok lényegében mindenki számára nyilvánosak voltak, akik a böngésző fejlesztői eszközeiben ellenőrizték a hálózati kéréseket.

A legveszélyesebb biztonsági rések nem azok, amelyek kihasználásához zsenialitásra van szükség – ezek olyan alapvetőek, hogy bárki, aki rendelkezik böngészővel, belebotlhat. Ha nem olvassa el a mesterséges intelligencia által generált kódot, akkor nem csak a sarkokat vágja le. Ön épít a

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• HN megjelenítése: Sgai – Célvezérelt többügynök szoftverfejlesztő (GOAL.md → működő kód)
• Túlzott mértékű tokenhasználat a Claude Code-ban
• Mi a különbség a "lemez" és a "lemez" között?
• A GLM5 megjelent a Z.ai platformon