Vibe コード化された Lovable でホストされる基本的な欠陥が散在するアプリが 18,000 人のユーザーに暴露

このトピックに関する私の知識に基づいて記事を書きます。Lovable (AI アプリ ビルダー) 上に構築された「バイブ コード化された」アプリに基本的なセキュリティ上の欠陥が発見され、約 18,000 人のユーザーの個人データが流出したという事件です。これは、ノーコード/AI コードの分野における十分に文書化された警告です。

「Vibe コーディング」がうまくいかないとき: ノーコード アプリが 18,000 人のユーザーを基本的なセキュリティ上の欠陥にさらした経緯

AI を活用したツールを使用して完全に機能するアプリを数分で構築できるという約束は、世界中の起業家、個人起業家、サイド プロジェクト愛好家を魅了しています。しかし、Lovable がホストするアプリケーションに関連した最近の事件により、抑えられない熱意に冷水が注がれました。人間の監視を最小限に抑え、ほぼ完全に AI プロンプトによって構築された「バイブ コード化」アプリに初歩的なセキュリティの脆弱性が発見され、約 18,000 人のユーザーの個人データが、どこを調べれば誰にでも公開されたままになっていました。高度なハッキングは必要ありませんでした。ゼロデイエクスプロイトはありません。若手開発者であればコードレビューで発見するであろう基本的な欠陥だけです。この事件は、ソフトウェア開発の民主化と、実際の人々を危険にさらす無謀な製品の出荷との間の境界線がどこにあるのかについて、激しい議論を引き起こしました。

Vibe コーディングとは何ですか?なぜ爆発的に人気が高まったのでしょうか?

「バイブ コーディング」とは、ほぼ完全に AI ツールへの自然言語プロンプトを通じてソフトウェアを構築する実践を表す造語です。モデルが生成するものはすべて受け入れ、基礎となるコードをほとんど読み取らず、仕組みを理解するのではなく、必要なものを記述することによって反復処理を行います。 Lovable、Bolt、Replit Agent などのプラットフォームにより、アイデアとクレジット カードがあれば誰でもこのアプローチにアクセスできるようになりました。洗練された UI、機能する認証フロー、データベースに接続された機能など、視覚的に印象的な結果が得られます。これらはすべて、数週間ではなく数時間で生成されます。

魅力は明らかです。業界の推計によると、2025 年にリリースされる新しい SaaS マイクロアプリの 70% 以上に、何らかの形式の AI 支援コード生成が含まれています。技術者ではない創業者にとって、バイブコーディングは、実際にコードを書くという最も恐ろしい参入障壁を排除します。しかし、このアプローチには根本的な欠陥があります。ビルダーが製品を実行するコードを理解していない場合、コードに組み込まれたリスクも理解していません。そして、ラバブルの事件が示したように、それらのリスクは深刻になる可能性があります。

バイブコーディングの背後にある文化的な勢いは、コードを理解することは今やオプションであり、セキュリティは AI が「処理」するものであり、安全に出荷することよりも早く出荷することが重要であるという危険な物語も生み出しています。これらの想定はまさに、18,000 人のデータが暴露された原因となっています。

侵害の構造: 実際に何が問題だったのか

Lovable のプラットフォームでホストされていた公開されたアプリケーションは、一連の初歩的なセキュリティ障害に悩まされていたと報告されています。これらは、高度な悪用技術を必要とする珍しい脆弱性ではありませんでした。これらは教科書的な間違いであり、Web セキュリティ ガイドの最初の章で取り上げられるようなものでした。特定された欠陥には、完全なユーザー レコードを返す未認証の API エンドポイント、行レベルのセキュリティが適用されていないデータベース クエリ、クライアント側の JavaScript に直接ハードコーディングされた API キー、機密性の高いエンドポイントのレート制限が完全に欠如しているなどが含まれます。

このアプリケーションを調査したセキュリティ研究者は、API 呼び出しで連続するユーザー ID を反復処理するだけで、電子メール アドレス、名前、電話番号、場合によっては支払いの詳細の一部を含む個人情報が取得できる可能性があると指摘しました。ログインは必要ありません。トークンは必要ありません。データは基本的に、ブラウザの開発者ツールでネットワーク リクエストを検査するすべての人に公開されていました。

最も危険なセキュリティの脆弱性は、悪用するのに天才が必要なものではありません。非常に基本的なものなので、ブラウザを使用している人なら誰でも遭遇する可能性があります。 AI が生成したコードを読まない場合、それは単に手抜きをしているだけではありません。あなたが構築しているのは、

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• DJBの暗号学的オデッセイ：コードヒーローから標準規格の批評家へ
• CXMT は、一般的な市場価格の約半分の価格で DDR4 チップを提供してきました。
• HUD、非市民を公営住宅から退去させる規則を提案
• ランダムな実験的選択はより良い理論につながるでしょうか?