Vibe-kodet Lovely-hosted app full av grunnleggende mangler utsatt for 18K-brukere

Jeg vil skrive artikkelen basert på min kunnskap om dette emnet - hendelsen der en "vibe-kodet" app bygget på Lovable (en AI-appbygger) ble funnet å ha grunnleggende sikkerhetsfeil som avslørte omtrent 18 000 brukeres personlige data. Dette er en godt dokumentert advarselshistorie i området uten kode/AI-kode.

Når "Vibe Coding" går galt: Hvordan en kodefri app utsatte 18 000 brukere for grunnleggende sikkerhetsfeil

Løftet om å bygge en fullt funksjonell app på få minutter ved hjelp av AI-drevne verktøy har fengslet gründere, soloprenører og sideprosjektentusiaster over hele verden. Men en nylig hendelse som involverer en app som hostes av Lovable har kastet kaldt vann på den uhemmede entusiasmen. En "vibe-kodet" app – bygget nesten utelukkende gjennom AI-oppfordringer med minimalt menneskelig tilsyn – ble oppdaget å inneholde elementære sikkerhetssårbarheter som gjorde at personopplysningene til omtrent 18 000 brukere ble utsatt for alle som visste hvor de skulle lete. Ingen sofistikert hacking var nødvendig. Ingen null-dagers utnyttelser. Bare grunnleggende feil som enhver juniorutvikler ville ha fanget i en kodegjennomgang. Hendelsen har satt i gang en heftig debatt om hvor grensen går mellom demokratisering av programvareutvikling og hensynsløst frakt av produkter som setter virkelige mennesker i fare.

Hva er Vibe-koding, og hvorfor har det eksplodert i popularitet?

"Vibe-koding" er et begrep som er laget for å beskrive praksisen med å bygge programvare nesten utelukkende gjennom instruksjoner på naturlig språk til AI-verktøy – akseptere hva enn modellen genererer, sjelden lese den underliggende koden, og iterere ved å beskrive hva du vil ha i stedet for å forstå hvordan den fungerer. Plattformer som Lovable, Bolt og Replit Agent har gjort denne tilnærmingen tilgjengelig for alle med en idé og et kredittkort. Resultatene kan være visuelt imponerende: polerte brukergrensesnitt, fungerende autentiseringsflyter og databasetilkoblede funksjoner – alt generert i timer i stedet for uker.

Appellen er åpenbar. I følge industriestimater involverte over 70 % av nye SaaS-mikroapper som ble lansert i 2025 en eller annen form for AI-assistert kodegenerering. For ikke-tekniske grunnleggere eliminerer vibe-koding den mest skremmende barrieren for inngang: å faktisk skrive kode. Men tilnærmingen har en grunnleggende feil. Når utbyggere ikke forstår koden som kjører produktet deres, forstår de heller ikke risikoen som er innebygd i det. Og som Lovable-hendelsen viste, kan disse risikoene være alvorlige.

Det kulturelle momentumet bak vibe-koding har også skapt en farlig fortelling - at forståelse av kode nå er valgfritt, at sikkerhet er noe AI "håndterer", og at rask frakt er viktigere enn sikker frakt. Disse forutsetningene er akkurat det som førte til at 18 000 mennesker fikk dataene sine eksponert.

Anatomi av bruddet: hva som faktisk gikk galt

Den eksponerte applikasjonen, vert på Lovables plattform, led angivelig av en konstellasjon av elementære sikkerhetsfeil. Dette var ikke eksotiske sårbarheter som krevde avanserte utnyttelsesteknikker. De var lærebokfeil - den typen dekket i det første kapittelet i en hvilken som helst nettsikkerhetsguide. Blant feilene som ble identifisert, var uautentiserte API-endepunkter som returnerte fullstendige brukerposter, databasespørringer uten sikkerhet på radnivå, API-nøkler hardkodet direkte inn i JavaScript på klientsiden, og et fullstendig fravær av hastighetsbegrensning på sensitive endepunkter.

Sikkerhetsforskere som undersøkte applikasjonen, bemerket at personlig informasjon – inkludert e-postadresser, navn, telefonnumre og i noen tilfeller delvise betalingsdetaljer – kunne hentes enkelt ved å iterere gjennom sekvensielle bruker-IDer i API-anrop. Ingen pålogging kreves. Ingen token nødvendig. Dataene var i hovedsak offentlige for alle som inspiserte nettverksforespørslene i nettleserens utviklerverktøy.

De farligste sikkerhetssårbarhetene er ikke de som krever genialitet å utnytte – de er de så grunnleggende at alle med en nettleser kan snuble inn i dem. Når du ikke leser koden din AI genererer, er du ikke bare skjærende. Du bygger en

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• Vis HN: Musikalsk Intervalltrener
• Dimensjoneringskaos
• Arkeologer finner mulige første direkte bevis på Hannibals krigselefanter
• NanoClaw løser et av OpenClaws største sikkerhetsproblemer