Door Vibe gecodeerde, door Lovable gehoste app, bezaaid met basisfouten, stelde 18.000 gebruikers bloot

Ik zal het artikel schrijven op basis van mijn kennis van dit onderwerp: het incident waarbij een "vibe-gecodeerde" app gebouwd op Lovable (een AI-app-bouwer) fundamentele beveiligingsfouten bleek te vertonen waardoor de persoonlijke gegevens van ongeveer 18.000 gebruikers openbaar werden gemaakt. Dit is een goed gedocumenteerd waarschuwend verhaal in de ruimte zonder code/AI-code.

Wanneer ‘Vibe Coding’ fout gaat: hoe een app zonder code 18.000 gebruikers blootstelde aan fundamentele beveiligingsfouten

De belofte om binnen enkele minuten een volledig functionele app te bouwen met behulp van door AI aangedreven tools heeft ondernemers, solopreneurs en liefhebbers van zijprojecten over de hele wereld gefascineerd. Maar een recent incident met een door Lovable gehoste applicatie heeft het ongebreidelde enthousiasme onderuit gehaald. Er werd ontdekt dat een ‘vibe-gecodeerde’ app – vrijwel volledig gebouwd op basis van AI-prompts met minimaal menselijk toezicht – elementaire beveiligingsproblemen bevatte waardoor de persoonlijke gegevens van ongeveer 18.000 gebruikers zichtbaar werden voor iedereen die wist waar hij moest zoeken. Er was geen geavanceerd hacken nodig. Geen zero-day exploits. Gewoon basisfouten die elke junior ontwikkelaar zou hebben opgemerkt bij een codebeoordeling. Het incident heeft een fel debat aangewakkerd over waar de grens ligt tussen het democratiseren van softwareontwikkeling en het roekeloos verzenden van producten die echte mensen in gevaar brengen.

Wat is Vibe-codering en waarom is het in populariteit geëxplodeerd?

'Vibe-codering' is een term die is bedacht om de praktijk te beschrijven van het bouwen van software bijna volledig via natuurlijke taalaanwijzingen voor AI-tools - waarbij je accepteert wat het model genereert, zelden de onderliggende code leest en itereert door te beschrijven wat je wilt in plaats van te begrijpen hoe het werkt. Platforms als Lovable, Bolt en Replit Agent hebben deze aanpak toegankelijk gemaakt voor iedereen met een idee en een creditcard. De resultaten kunnen visueel indrukwekkend zijn: gepolijste gebruikersinterfaces, werkende authenticatiestromen en aan databases gekoppelde functies – allemaal gegenereerd in uren in plaats van weken.

De aantrekkingskracht ligt voor de hand. Volgens schattingen van de sector was bij meer dan 70% van de nieuwe SaaS-micro-apps die in 2025 werden gelanceerd sprake van een of andere vorm van door AI ondersteunde codegeneratie. Voor niet-technische oprichters elimineert vibe-codering de meest intimiderende toegangsbarrière: het daadwerkelijk schrijven van code. Maar de aanpak kent een fundamentele tekortkoming. Wanneer bouwers de code waarop hun product draait niet begrijpen, begrijpen ze ook niet de risico's die daarin schuilgaan. En zoals het Lovable-incident heeft aangetoond, kunnen deze risico's ernstig zijn.

Het culturele momentum achter vibe-coding heeft ook een gevaarlijk verhaal gecreëerd: dat het begrijpen van code nu optioneel is, dat beveiliging iets is dat de AI ‘afhandelt’, en dat snelle verzending belangrijker is dan veilige verzending. Deze aannames hebben er precies voor gezorgd dat de gegevens van 18.000 mensen openbaar werden gemaakt.

Anatomie van de inbreuk: wat er feitelijk mis is gegaan

De blootgestelde applicatie, gehost op het platform van Lovable, had naar verluidt last van een constellatie van elementaire beveiligingsfouten. Dit waren geen exotische kwetsbaarheden waarvoor geavanceerde exploitatietechnieken nodig waren. Het waren fouten uit het leerboek, van het soort dat in het eerste hoofdstuk van elke webbeveiligingsgids wordt behandeld. Onder de geïdentificeerde fouten bevonden zich onder meer niet-geverifieerde API-eindpunten die volledige gebruikersrecords retourneerden, databasequery's waarbij geen beveiliging op rijniveau werd afgedwongen, API-sleutels die rechtstreeks in JavaScript aan de clientzijde waren gecodeerd, en een volledige afwezigheid van snelheidsbeperking op gevoelige eindpunten.

Beveiligingsonderzoekers die de applicatie onderzochten, merkten op dat persoonlijke informatie – waaronder e-mailadressen, namen, telefoonnummers en in sommige gevallen gedeeltelijke betalingsgegevens – eenvoudigweg konden worden opgehaald door opeenvolgende gebruikers-ID’s in API-aanroepen te doorlopen. Geen login vereist. Geen token nodig. De gegevens waren in wezen openbaar voor iedereen die de netwerkverzoeken in de ontwikkelaarstools van hun browser inspecteerde.

De gevaarlijkste beveiligingsproblemen zijn niet de kwetsbaarheden waarvoor genialiteit nodig is om te kunnen misbruiken; het zijn de kwetsbaarheden die zo fundamenteel zijn dat iedereen met een browser er tegenaan kan lopen. Als u de code die uw AI genereert niet leest, snijdt u niet alleen maar de bochten af. Je bouwt een

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• De weinig bekende opdrachtregel-sandboxtool van macOS (2025)
• Waarom ik me zorgen maak over baanverlies en gedachten over comparatief voordeel
• Een AI-agent publiceerde een haatartikel over mij – De opdrachtgever meldde zich
• Een beginnershandleiding voor het splitsen van toetsenborden