Hacker News

App ikkodifikata minn Vibe ospitata minn Lovable mifruxa b'difetti bażiċi esposti 18K utenti

Kummenti

14 min read Via www.theregister.com

Mewayz Team

Editorial Team

Hacker News
Se nikteb l-artiklu bbażat fuq l-għarfien tiegħi ta 'dan is-suġġett — l-inċident fejn app "vibe coded" mibnija fuq Lovable (bennej ta' app AI) instabet li kellha difetti bażiċi ta 'sigurtà li esponew madwar 18,000 data personali ta' utent. Din hija rakkont ta' kawtela dokumentat tajjeb fl-ispazju bla kodiċi/kodiċi AI.

Meta "Vibe Coding" Tmur Ħażin: Kif App Bla Kodiċi Esposta 18,000 Utent għal Difetti Bażiċi tas-Sigurtà

Il-wegħda li tinbena app kompletament funzjonali f'minuti bl-użu ta' għodod li jaħdmu bl-AI ġibdet intraprendituri, imprendituri solo, u dilettanti tal-proġetti sekondarji madwar id-dinja. Iżda inċident reċenti li jinvolvi applikazzjoni ospitata minn Lovable tefa' ilma kiesaħ fuq l-entużjażmu bla rażan. App "vibe coded" - mibnija kważi kompletament permezz ta' AI prompts b'sorveljanza minima mill-bniedem - ġiet skoperta li fiha vulnerabbiltajiet elementari tas-sigurtà li ħallew id-dejta personali ta' madwar 18,000 utent esposta għal kull min kien jaf fejn għandu jfittex. L-ebda hacking sofistikat ma kien meħtieġ. L-ebda sfruttament ta' jum żero. Biss difetti bażiċi li kwalunkwe żviluppatur junior kien jaqbad f'reviżjoni tal-kodiċi. L-inċident qajjem dibattitu qalil dwar fejn taqa' l-linja bejn id-demokratizzazzjoni tal-iżvilupp tas-softwer u t-trasport bl-addoċċ ta' prodotti li jpoġġu lin-nies reali f'riskju.

X'inhu Vibe Coding, u Għaliex Splodiet fil-Popolarità?

"Vibe coding" huwa terminu maħluq biex jiddeskrivi l-prattika tal-bini ta' softwer kważi kompletament permezz ta' prompts b'lingwa naturali għal għodod tal-IA — jaċċettaw ikun x'ikun jiġġenera l-mudell, rarament taqra l-kodiċi sottostanti, u jtenni billi tiddeskrivi dak li trid aktar milli tifhem kif taħdem. Pjattaformi bħal Lovable, Bolt, u Replit Agent għamlu dan l-approċċ aċċessibbli għal kull min għandu idea u karta ta 'kreditu. Ir-riżultati jistgħu jkunu viżwalment impressjonanti: UIs illustrati, flussi ta' awtentikazzjoni li jaħdmu, u karatteristiċi konnessi mad-database — kollha ġġenerati f'sigħat minflok f'ġimgħat.

L-appell huwa ovvju. Skont stimi tal-industrija, aktar minn 70 % tal-mikro-apps SaaS ġodda mnedija fl-2025 kienu jinvolvu xi forma ta’ ġenerazzjoni ta’ kodiċi assistita mill-AI. Għal fundaturi mhux tekniċi, il-kodifikazzjoni tal-vibe telimina l-aktar ostaklu intimidanti għad-dħul: fil-fatt il-kitba tal-kodiċi. Iżda l-approċċ għandu difett fundamentali. Meta l-bennejja ma jifhmux il-kodiċi li jħaddem il-prodott tagħhom, huma wkoll ma jifhmux ir-riskji inkorporati fih. U kif wera l-inċident Lovable, dawk ir-riskji jistgħu jkunu severi.

Il-momentum kulturali wara l-kodifikazzjoni tal-vibe ħoloq ukoll narrattiva perikoluża — dak il-kodiċi tal-fehim issa huwa fakultattiv, li s-sigurtà hija xi ħaġa li l-AI "jimmaniġġjaw", u li t-tbaħħir mgħaġġel huwa importanti aktar milli t-tbaħħir b'mod sikur. Dawn is-suppożizzjonijiet huma eżattament dak li wassal biex 18,000 persuna kellhom id-dejta tagħhom esposta.

Anatomija tal-Ksur: Dak li Attwalment Mar Ħażin

L-applikazzjoni esposta, ospitata fuq il-pjattaforma ta' Lovable, allegatament sofriet minn kostellazzjoni ta' fallimenti elementari tas-sigurtà. Dawn ma kinux vulnerabbiltajiet eżotiċi li jeħtieġu tekniki avvanzati ta 'esplojtazzjoni. Kienu żbalji fil-kotba — it-tip koperti fl-ewwel kapitolu ta’ kwalunkwe gwida tas-sigurtà tal-web. Fost id-difetti identifikati kien hemm endpoints tal-API mhux awtentikati li rritornaw rekords sħaħ tal-utenti, mistoqsijiet tad-database mingħajr ebda sigurtà fil-livell ta' ringiela infurzata, ċwievet tal-API kodifikati direttament f'JavaScript min-naħa tal-klijent, u nuqqas sħiħ ta' limitazzjoni tar-rata fuq endpoints sensittivi.

Ir-riċerkaturi tas-sigurtà li eżaminaw l-applikazzjoni nnutaw li l-informazzjoni personali — inklużi l-indirizzi tal-email, l-ismijiet, in-numri tat-telefon, u f'xi każijiet id-dettalji tal-ħlas parzjali — tista' tiġi rkuprata sempliċiment billi tgħaddi permezz ta' IDs tal-utent sekwenzjali f'sejħiet API. Ebda login meħtieġ. Ebda token meħtieġ. Id-dejta kienet essenzjalment pubblika għal kull min spezzjona t-talbiet tan-netwerk fl-għodod tal-iżviluppatur tal-browser tagħhom.

Il-vulnerabbiltajiet tas-sigurtà l-aktar perikolużi mhumiex dawk li jeħtieġu ġenju biex jisfruttaw — huma dawk tant bażiċi li kull min għandu browser jista' jfixkel fihom. Meta ma taqrax il-kodiċi li tiġġenera l-AI tiegħek, ma tkunx qed taqta' l-kantunieri biss. Qed tibni dar mingħajr serraturi u tittama li ħadd ma jipprova l-bieb.

Il-Kawża Għerq: Fiduċja Mingħajr Verifika

Fil-qalba ta' dan l-inċident hemm mudell li l-professjonisti tas-sigurtà ilhom iwissu dwaru minn mindu l-għodod tal-ġenerazzjoni tal-kodiċi tal-AI kisbu għall-ewwel darba. L-iżviluppatur - jew b'mod aktar preċiż, l-inġinier fil-pront - fda l-output tal-AI b'mod impliċitu. Meta l-app dehret li taħdem, kienet preżunta li kienet lesta għall-produzzjoni. Iżda "xogħlijiet" u "sigurtà" huma standards kompletament differenti. Endpoint API jista' jirritorna d-dejta korretta għall-utent korrett u fl-istess ħin jirritorna dik l-istess dejta lil kull viżitatur mhux awtorizzat fuq l-internet.

Il-ġeneraturi tal-kodiċi AI huma ottimizzati għal korrettezza funzjonali, mhux reżiljenza kontradittorja. Huma jipproduċu kodiċi li jissodisfa l-pront, mhux kodiċi li jantiċipa kif attur malizzjuż jista 'jabbuża minnu. Politiki ta' sigurtà fil-livell ta' ringiela, sanitizzazzjoni tal-input, middleware ta' awtentikazzjoni, konfigurazzjoni CORS, u limitazzjoni tar-rata huma kollha tħassib li jeħtieġ implimentazzjoni deliberata u konxja tas-sigurtà. Huma rari joħorġu b'mod naturali minn prompts bħal "ibnini dashboard tal-utent."

Il-pjattaforma Lovable nnifisha tipprovdi Supabase bħala backend tagħha, li toffri karatteristiċi ta' sigurtà robusti — inklużi politiki ta' sigurtà fil-livell ta' ringiela (RLS). Iżda dawn il-karatteristiċi għandhom ikunu attivati ​​b'mod espliċitu u kkonfigurati b'mod korrett. Il-kodiċi ġġenerat mill-AI f'dan il-każ jew naqas milli jippermetti RLS jew ikkonfigurah b'mod żbaljat, u ħoloq saff tad-dejta miftuħ wiesa 'wara frontend illustrat. Il-lezzjoni hija qawwija:il-kapaċitajiet tas-sigurtà tal-pjattaforma huma irrilevanti jekk il-kodiċi ġġenerat ma jużahomx.

Għaliex Din Hija Problema Sistemika, Mhux Inċident Iżolat

Ikun ta' faraġ li dan iwarrab bħala falliment ta' darba minn individwu Ŝejjed. Iżda l-evidenza tissuġġerixxi li l-problema hija strutturali. Studju ta’ Stanford fl-2025 sab li l-iżviluppaturi li jużaw assistenti AI pproduċew kodiċi b’40% aktar vulnerabbiltajiet tas-sigurtà minn dawk li jikkodifikaw manwalment — u b’mod kritiku, ħassewhom aktar kunfidenti dwar is-sigurtà tal-kodiċi tagħhom. Din id-differenza fil-fiduċja hija l-periklu reali. Vibe coders mhumiex biss tbaħħir kodiċi mhux sigur; huma ġenwinament jemmnu li bnew xi ħaġa solida.

Il-proliferazzjoni ta' apps mibnija mill-AI tfisser li issa hemm eluf ta' applikazzjonijiet ta' produzzjoni li jimmaniġġjaw data reali tal-utent li qatt ma għaddew minn reviżjoni tas-sigurtà, test ta' penetrazzjoni, jew saħansitra verifika manwali tal-kodiċi. Ħafna minn dawn l-apps huma mibnija minn fundaturi waħedhom li m'għandhomx l-isfond tekniku biex jevalwaw dak li pproduċiet l-AI. Il-wiċċ tal-attakk mhuwiex app waħda — hija ġenerazzjoni sħiħa ta' softwer mibnija fuq is-suppożizzjoni li l-output tal-AI huwa intrinsikament affidabbli.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Ikkunsidra l-fluss tax-xogħol tipiku tal-kodifikazzjoni tal-vibe u fejn is-sigurtà taqa 'minn ix-xquq:

  1. Żvilupp immexxi mill-pront: Il-bennej jiddeskrivi l-karatteristiċi b'lingwaġġ naturali, mingħajr ma jissemmew rekwiżiti ta' sigurtà, mudelli ta' awtentikazzjoni, jew politiki ta' protezzjoni tad-dejta.
  2. Aċċettazzjoni mingħajr reviżjoni: Il-kodiċi ġenerat huwa ttestjat għall-funzjonalità ("il-buttuna taħdem?") iżda qatt ma vverifikat għas-sigurtà ("min ieħor jista' jaċċessa din id-dejta?").
  3. Skjerament rapidu: L-app tibda taħdem fi żmien sigħat jew jiem, mingħajr l-ebda ambjent ta' stadji, l-ebda ittestjar tas-sigurtà, u l-ebda monitoraġġ għal aċċess mhux awtorizzat.
  4. Skala bl-espożizzjoni: Hekk kif l-utenti jiffirmaw u jipprovdu dejta personali, ir-raġġ tal-isplużjoni ta' kwalunkwe vulnerabbiltà jikber — iżda l-bennej m'għandux viżibilità f'theddid potenzjali.
  5. Skoperta minn barra: Eventwalment jinstabu difetti tas-sigurtà — mhux mill-bennej, iżda minn riċerkaturi, kompetituri, jew atturi malizzjużi.

Liema Jidher Attwalment il-Bini Responsabbli tal-App

Xejn minn dan ma jfisser li l-iżvilupp assistit mill-AI huwa intrinsikament perikoluż, jew li fundaturi mhux tekniċi ma jistgħux jibnu prodotti leġittimi. Ifisser li l-approċċ jeħtieġ guardrails, għarfien, u - f'ħafna każijiet - rieda li tuża pjattaformi stabbiliti aktar milli tibni mill-bidu. Il-baŜi tas-sigurtà li l-app esposta naqset milli timplimenta mhumiex karatteristiċi fakultattivi. Huma stakes tabella għal kwalunkwe applikazzjoni li tieħu ħsieb id-dejta tal-utent.

Għall-fundaturi u l-operaturi tan-negozji ż-żgħar li jeħtieġu softwer biex imexxu l-operazzjonijiet tagħhom — CRM, fatturazzjoni, prenotazzjonijiet, ġestjoni tat-tim — l-aktar triq sikura hija ħafna drabi li ma tinbenax app apposta. Pjattaformi bħalMewayzjeżistu preċiżament biex jeliminaw dan ir-riskju. B'207 moduli mibnija minn qabel li jkopru kollox mill-pagi u HR sa ġestjoni tal-flotta, analiżi u portali tal-klijenti, Mewayz jipprovdi l-funzjonalità li l-kodifikaturi tal-vibe jqattgħu ġimgħat jippruvaw jirreplikaw - ħlief b'sigurtà ta 'grad ta' intrapriża, awtentikazzjoni xierqa, immaniġġjar ta 'dejta kriptata, u tim ta' inġinerija dedikat li jżomm l-infrastruttura. Il-138,000 utent diġà fuq il-pjattaforma jibbenefikaw minn prattiki ta' sigurtà li l-ebda fundatur waħdu li jqanqal AI f'nofs il-lejl ma jista' jaqbel b'mod realistiku.

Il-kalkolu huwa sempliċi: jekk in-negozju ewlieni tiegħek mhuwiex żvilupp ta' softwer, is-sigħat li tqattgħu vibe kodifika app tad-dwana jkunu investiti aħjar fit-tmexxija tan-negozju tiegħek fil-fatt — bl-użu ta' għodod li ġew mibnija, ittestjati, verifikati, u miżmuma minn professjonisti.

Lezzjonijiet għall-Era ta' Żvilupp Megħjun mill-AI

L-inċident Lovable mhuwiex raġuni biex tabbanduna għal kollox l-iżvilupp assistit mill-AI. Il-ġenerazzjoni tal-kodiċi AI hija għodda qawwija li ġenwinament taċċellera l-ħolqien tas-softwer. Iżda għodda hija sigura biss daqs l-idejn li jħaddmuha. Lupa hija imprezzabbli għal arborist imħarreġ u katastrofiku għal xi ħadd li qatt ma kellu wieħed. L-istess prinċipju japplika għall-kodiċi tat-tbaħħir li qatt ma qrajt lil servers tal-produzzjoni li jimmaniġġjaw id-dejta tal-utent reali.

Għal dawk li jagħżlu li jibnu applikazzjonijiet personalizzati bl-assistenza tal-AI, il-lista ta' kontroll tas-sigurtà minima vijabbli mhix negozjabbli:

  • Ippermetti u tivverifika s-sigurtà fil-livell ta' ringiela fuq kull tabella tad-database li fiha d-dejta tal-utent — imbagħad ittestjaha billi tipprova taċċessa r-rekords tal-utenti l-oħra.
  • Qatt ma tesponi ċ-ċwievet API fil-kodiċi tan-naħa tal-klijent. Uża varjabbli tal-ambjent tan-naħa tas-server u rotot tal-API biex iżżomm is-sigrieti barra mill-browser.
  • Implimenta middleware tal-awtentikazzjoni fuq kull endpoint li jirritorna jew jimmodifika d-dejta tal-utent. Test b'talbiet mhux awtentikati.
  • Żid il-limitazzjoni tar-rata biex tevita attakki ta' enumerazzjoni u attentati ta' forza bruta fuq punti ta' tmiem tal-login u tad-data.
  • Mexxi verifika bażika tas-sigurtà qabel it-tnedija — anke għodod b'xejn bħal OWASP ZAP jistgħu jaqbdu l-aktar vulnerabbiltajiet kbar.
  • Aqra l-kodiċi ġġenerat. Jekk ma tistax tifhimha, impjega lil xi ħadd li jista' jirrevedih qabel ma tpoġġi warajh id-dejta tal-utenti reali.

It-18,000 utent li d-dejta tagħhom ġiet esposta ma rreġistrawx billi jafu li kienu qed jittestjaw beta-esperiment tal-AI ta' xi ħadd. Huma fdaw l-app bl-informazzjoni tagħhom għax dehret professjonali u ħadmet b'mod korrett. Dik il-fiduċja ġiet miksura mhux minn attakk ċibernetiku sofistikat, iżda minn negliġenza liebsa bħala innovazzjoni. Hekk kif għodod ta' żvilupp li jaħdmu bl-AI jkomplu jbaxxu l-ostaklu għas-softwer tal-bini, l-industrija — u l-bennejja individwali — għandhom jiżguraw li l-ostaklu għat-tbaħħir ta' softwer sikur ma jinżelx miegħu.

Il-Linja ta' Fuq: Il-Veloċità Mingħajr Sigurtà Hija Biss Traskuraġenza

L-attrazzjoni tal-bini ta' prodott SaaS komplet fi tmiem il-ġimgħa bl-użu ta' xejn ħlief AI prompts hija innegabbli. Iżda l-inċident ta 'Lovable għamel ħaġa waħda ċara bi tbatija:il-veloċità li biha tista' tibni app hija bla sens jekk ma tistax tiggarantixxi s-sigurtà tan-nies li jużawha. Għal kull storja ta' suċċess ikkodifikata b'vibe kondiviża fuq il-midja soċjali, hemm għadd kbir ta' applikazzjonijiet li jinsabu fil-produzzjoni bħalissa bl-istess vulnerabbiltajiet eżatti — qed jistennew li jiġu skoperti.

Sew jekk tagħżel li tibni bl-assistenza tal-AI u tinvesti f'reviżjonijiet xierqa tas-sigurtà, jew tagħżel pjattaforma ttestjata fil-battalja bħal Mewayz li tieħu ħsieb l-infrastruttura tas-sigurtà sabiex tkun tista' tiffoka fuq it-tkabbir tan-negozju tiegħek, l-imperattiv huwa l-istess: ittratta d-dejta tal-utenti tiegħek bir-rispett li jistħoqqilha. Fl-2026, "Ma kontx naf li l-kodiċi ma kienx sigur" m'għadhiex skuża. Hija responsabbiltà.

Mistoqsijiet Frekwenti

X'inhi "vibe coding" u għaliex hija riskjuża?

Il-kodifikazzjoni tal-Vibe tirreferi għal softwer tal-bini li juża għodod tal-AI billi tiddeskrivi dak li trid b'lingwaġġ naturali, b'reviżjoni minima tal-kodiċi manwali. Ir-riskju huwa li l-kodiċi ġġenerat mill-AI ħafna drabi jkun nieqes mill-prinċipji fundamentali tas-sigurtà xierqa bħall-awtentikazzjoni, il-validazzjoni tal-input, u l-encryption tad-dejta. Mingħajr żviluppaturi b'esperjenza li jirrevedu l-output, il-vulnerabbiltajiet kritiċi jistgħu jgħaddu mingħajr ma jinstabu, u potenzjalment jesponu eluf ta' utenti għal ksur tad-dejta u ksur tal-privatezza.

Kif esponiet l-app ospitata minn Lovable 18,000 utent?

L-app kien fiha difetti bażiċi tas-sigurtà inklużi ċwievet API esposti, awtentikazzjoni nieqsa fuq endpoints tad-database, u kontrolli ta' aċċess inadegwati. Dawn huma vulnerabbiltajiet fundamentali li kwalunkwe żviluppatur b'esperjenza jaqbad waqt ir-reviżjoni tal-kodiċi. Minħabba li l-app inbniet primarjament permezz ta' prompts tal-AI mingħajr verifika bir-reqqa tas-sigurtà, l-attakkanti setgħu jaċċessaw id-dejta tal-utent direttament — jenfasizzaw għaliex il-ġenerazzjoni awtomatizzata tal-kodiċi għadha teħtieġ sorveljanza umana u ttestjar tas-sigurtà.

Jistgħu l-apps mibnija bl-AI qatt ikunu siguri biżżejjed għall-użu fil-produzzjoni?

Iva, iżda biss bi prattiki ta' sigurtà xierqa fuq saffi. Il-ġenerazzjoni tal-kodiċi AI hija punt tat-tluq, mhux prodott lest. In-negozji jeħtieġu reviżjonijiet tal-kodiċi, ittestjar tal-penetrazzjoni, u infrastruttura sigura. Pjattaformi bħal Mewayz itaffu dan billi jipprovdu OS tan-negozju mibni minn qabel, ivverifikat bis-sigurtà b'207 moduli li jibdew minn $19/mo — sabiex ikollok għodod lesti għall-produzzjoni mingħajr ma tikteb kodiċi vulnerabbli mill-bidu.

X'għandhom jitgħallmu n-negozji minn dan l-inċident?

Ix-xejra ewlenija hija li l-ħeffa qatt m'għandha tasal għas-sigurtà. Qabel ma tniedi kwalunkwe app li timmaniġġja d-dejta tal-utent, wettaq verifiki bir-reqqa tas-sigurtà irrispettivament minn kif inbniet. Ikkunsidra li tuża pjattaformi stabbiliti b'rekords ta' sigurtà ppruvati aktar milli tuża kodiċi ġġenerat mill-AI mhux ittestjat. Il-protezzjoni tal-fiduċja tal-utent hija ferm aktar siewja milli tiffranka ftit sigħat ta' ħin ta' żvilupp.