Apl hos yang dihoskan berkod vibe yang penuh dengan kelemahan asas mendedahkan 18K pengguna

Saya akan menulis artikel berdasarkan pengetahuan saya tentang topik ini — kejadian apl "vibecoded" yang dibina pada Lovable (pembina aplikasi AI) didapati mempunyai kelemahan asas keselamatan yang mendedahkan kira-kira 18,000 data peribadi pengguna. Ini adalah kisah amaran yang didokumentasikan dengan baik dalam ruang tanpa kod/AI-kod.

Apabila "Pengekodan Vibe" Berlaku Salah: Cara Apl Tanpa Kod Mendedahkan 18,000 Pengguna kepada Kelemahan Keselamatan Asas

Janji membina apl berfungsi sepenuhnya dalam beberapa minit menggunakan alatan berkuasa AI telah memikat hati usahawan, usahawan solo dan peminat projek sampingan di seluruh dunia. Tetapi insiden baru-baru ini yang melibatkan aplikasi yang dihoskan Lovable telah menimbulkan keghairahan yang tidak terkawal. Apl "berkod vibe" — dibina hampir keseluruhannya melalui gesaan AI dengan pengawasan manusia yang minimum — didapati mengandungi kelemahan keselamatan asas yang menyebabkan data peribadi kira-kira 18,000 pengguna terdedah kepada sesiapa sahaja yang tahu di mana hendak mencari. Tiada penggodaman yang canggih diperlukan. Tiada eksploitasi sifar hari. Hanya kelemahan asas yang mana-mana pembangun junior akan ditangkap dalam semakan kod. Insiden itu telah mencetuskan perdebatan sengit tentang di mana garis jatuh antara pendemokrasian pembangunan perisian dan penghantaran produk secara melulu yang meletakkan orang sebenar berisiko.

Apakah Pengekodan Vibe, dan Mengapa Ia Meletup dalam Populariti?

"Pengekodan vibe" ialah istilah yang dicipta untuk menerangkan amalan membina perisian hampir keseluruhannya melalui gesaan bahasa semula jadi kepada alatan AI — menerima apa sahaja model yang dihasilkan, jarang membaca kod asas dan mengulangi dengan menerangkan perkara yang anda inginkan dan bukannya memahami cara ia berfungsi. Platform seperti Lovable, Bolt, dan Replit Agent telah menjadikan pendekatan ini boleh diakses oleh sesiapa sahaja yang mempunyai idea dan kad kredit. Hasilnya boleh mengagumkan secara visual: UI yang digilap, aliran pengesahan yang berfungsi dan ciri yang disambungkan ke pangkalan data — semuanya dijana dalam jam dan bukannya minggu.

Rayuan itu jelas. Menurut anggaran industri, lebih 70% aplikasi mikro SaaS baharu yang dilancarkan pada 2025 melibatkan beberapa bentuk penjanaan kod bantuan AI. Bagi pengasas bukan teknikal, pengekodan vibe menghapuskan halangan kemasukan yang paling menakutkan: sebenarnya menulis kod. Tetapi pendekatan itu membawa kelemahan asas. Apabila pembina tidak memahami kod yang menjalankan produk mereka, mereka juga tidak memahami risiko yang tertanam di dalamnya. Dan seperti yang ditunjukkan oleh insiden Lovable, risiko tersebut boleh menjadi teruk.

Momentum budaya di sebalik pengekodan getaran juga telah mencipta naratif yang berbahaya — bahawa kod pemahaman kini menjadi pilihan, keselamatan adalah sesuatu yang "dikendalikan" oleh AI dan penghantaran pantas lebih penting daripada penghantaran dengan selamat. Andaian ini sebenarnya yang menyebabkan 18,000 orang mendedahkan data mereka.

Anatomi Pelanggaran: Apa yang Sebenarnya Berlaku Salah

Aplikasi terdedah, dihoskan pada platform Lovable, dilaporkan mengalami sekumpulan kegagalan keselamatan asas. Ini bukan kelemahan eksotik yang memerlukan teknik eksploitasi lanjutan. Ia adalah kesilapan buku teks — jenis yang dibincangkan dalam bab pertama mana-mana panduan keselamatan web. Antara kelemahan yang dikenal pasti ialah titik akhir API tidak disahkan yang mengembalikan rekod pengguna penuh, pertanyaan pangkalan data tanpa keselamatan peringkat baris yang dikuatkuasakan, kunci API dikodkan terus ke dalam JavaScript sisi klien dan ketiadaan pengehadan kadar sepenuhnya pada titik akhir sensitif.

Penyelidik keselamatan yang memeriksa aplikasi itu menyatakan bahawa maklumat peribadi — termasuk alamat e-mel, nama, nombor telefon dan dalam beberapa kes butiran pembayaran separa — boleh diperolehi hanya dengan mengulang melalui ID pengguna berjujukan dalam panggilan API. Tiada log masuk diperlukan. Tiada token diperlukan. Data itu pada dasarnya terbuka kepada sesiapa sahaja yang memeriksa permintaan rangkaian dalam alat pembangun penyemak imbas mereka.

Kerentanan keselamatan yang paling berbahaya bukanlah kelemahan yang memerlukan genius untuk mengeksploitasi — ia adalah kelemahan yang sangat asas sehingga sesiapa yang mempunyai penyemak imbas boleh tersandung padanya. Apabila anda tidak membaca kod yang dijana oleh AI anda, anda bukan hanya memotong sudut. Anda sedang membina a

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• Bagaimanakah Windows 95 mendapat kebenaran untuk meletakkan video Weezer 'Buddy Holly' pada CD?
• Paragon secara tidak sengaja memuat naik foto panel kawalan perisian pengintipnya
• DBASE pada Kaypro II
• Apabila antara muka menjadi boleh guna