Vibe-kodet Lovely-hosted app full av grunnleggende mangler utsatt for 18K-brukere

Jeg vil skrive artikkelen basert på min kunnskap om dette emnet - hendelsen der en "vibe-kodet" app bygget på Lovable (en AI-appbygger) ble funnet å ha grunnleggende sikkerhetsfeil som avslørte omtrent 18 000 brukeres personlige data. Dette er en godt dokumentert advarselshistorie i området uten kode/AI-kode.

Når "Vibe Coding" Goes Wrong: Hvordan en kodefri app eksponerte 18 000 brukere for grunnleggende sikkerhetsfeil

Løftet om å bygge en fullt funksjonell app på få minutter ved hjelp av AI-drevne verktøy har fengslet gründere, soloprenører og sideprosjektentusiaster over hele verden. Men en nylig hendelse som involverer en app som hostes av Lovable har kastet kaldt vann på den uhemmede entusiasmen. En "vibe-kodet" app – bygget nesten utelukkende gjennom AI-oppfordringer med minimalt menneskelig tilsyn – ble oppdaget å inneholde elementære sikkerhetssårbarheter som gjorde at personopplysningene til omtrent 18 000 brukere ble utsatt for alle som visste hvor de skulle lete. Ingen sofistikert hacking var nødvendig. Ingen null-dagers utnyttelser. Bare grunnleggende feil som enhver juniorutvikler ville ha fanget i en kodegjennomgang. Hendelsen har satt i gang en heftig debatt om hvor grensen går mellom demokratisering av programvareutvikling og hensynsløst frakt av produkter som setter virkelige mennesker i fare.

Hva er Vibe-koding, og hvorfor har det eksplodert i popularitet?

"Vibe-koding" er et begrep laget for å beskrive praksisen med å bygge programvare nesten utelukkende gjennom naturspråklige spørsmål til AI-verktøy – godta hva modellen genererer, sjelden lese den underliggende koden, og iterere ved å beskrive hva du vil i stedet for å forstå hvordan den fungerer. Plattformer som Lovable, Bolt og Replit Agent har gjort denne tilnærmingen tilgjengelig for alle med en idé og et kredittkort. Resultatene kan være visuelt imponerende: polerte brukergrensesnitt, fungerende autentiseringsflyter og databasetilkoblede funksjoner – alt generert i timer i stedet for uker.

Anken er åpenbar. I følge industriestimater involverte over 70 % av nye SaaS-mikroapper som ble lansert i 2025 en eller annen form for AI-assistert kodegenerering. For ikke-tekniske grunnleggere eliminerer vibe-koding den mest skremmende barrieren for inngang: å faktisk skrive kode. Men tilnærmingen har en grunnleggende feil. Når utbyggere ikke forstår koden som kjører produktet deres, forstår de heller ikke risikoen som er innebygd i det. Og som Lovable-hendelsen viste, kan disse risikoene være alvorlige.

Det kulturelle momentumet bak vibe-koding har også skapt en farlig fortelling – at forståelse av kode nå er valgfritt, at sikkerhet er noe AI "håndterer", og at rask frakt er viktigere enn sikker frakt. Disse antakelsene er akkurat det som førte til at 18 000 mennesker fikk dataene sine eksponert.

Anatomi av bruddet: Hva som faktisk gikk galt

Den eksponerte applikasjonen, vert på Lovables plattform, led angivelig av en konstellasjon av elementære sikkerhetsfeil. Dette var ikke eksotiske sårbarheter som krevde avanserte utnyttelsesteknikker. De var lærebokfeil - den typen dekket i det første kapittelet i en hvilken som helst nettsikkerhetsguide. Blant feilene som ble identifisert, var uautentiserte API-endepunkter som returnerte fullstendige brukerposter, databasespørringer uten sikkerhet på radnivå, API-nøkler hardkodet direkte inn i JavaScript på klientsiden, og et fullstendig fravær av hastighetsbegrensning på sensitive endepunkter.

Sikkerhetsforskere som undersøkte applikasjonen, la merke til at personlig informasjon – inkludert e-postadresser, navn, telefonnumre og i noen tilfeller delvise betalingsdetaljer – kunne hentes enkelt ved å iterere gjennom sekvensielle bruker-IDer i API-anrop. Ingen pålogging kreves. Ingen token nødvendig. Dataene var i hovedsak offentlige for alle som inspiserte nettverksforespørslene i nettleserens utviklerverktøy.

De farligste sikkerhetssårbarhetene er ikke de som krever genialitet å utnytte – de er de som er så grunnleggende at alle med en nettleser kan snuble inn i dem. Når du ikke leser koden din AI genererer, er du ikke bare skjærende. Du bygger et hus uten lås og håper ingen prøver døren.

Root-årsaken: tillit uten bekreftelse

Kjernen i denne hendelsen ligger et mønster som sikkerhetseksperter har advart om siden verktøyene for generering av AI-kode først fikk gjennomslag. Utvikleren – eller mer presist, prompteingeniøren – stolte implisitt på AI-resultatet. Da appen så ut som den fungerte, ble den antatt å være produksjonsklar. Men "fungerer" og "sikker" er helt forskjellige standarder. Et API-endepunkt kan returnere riktige data for riktig bruker og samtidig returnere de samme dataene til alle uautoriserte besøkende på internett.

AI-kodegeneratorer er optimalisert for funksjonell korrekthet, ikke motstandsdyktighet. De produserer kode som tilfredsstiller forespørselen, ikke kode som forutser hvordan en ondsinnet aktør kan misbruke den. Sikkerhetspolicyer på radnivå, rensing av innganger, mellomvare for autentisering, CORS-konfigurasjon og hastighetsbegrensning er alle bekymringer som krever bevisst, sikkerhetsbevisst implementering. De dukker sjelden opp naturlig fra forespørsler som "bygg meg et brukerdashbord."

Lovable-plattformen har i seg selv Supabase som backend, som tilbyr robuste sikkerhetsfunksjoner – inkludert RLS-policyer (row-level security). Men disse funksjonene må være eksplisitt aktivert og riktig konfigurert. Den AI-genererte koden i dette tilfellet klarte enten ikke å aktivere RLS eller konfigurerte den feil, og skapte et vidåpent datalag bak en polert frontend. Leksjonen er sterk: plattformens sikkerhetsfunksjoner er irrelevante hvis den genererte koden ikke bruker dem.

Hvorfor dette er et systemisk problem, ikke en isolert hendelse

Det ville være trøstende å avfeie dette som en engangsfeil fra en uforsiktig person. Men bevisene tyder på at problemet er strukturelt. En Stanford-studie fra 2025 fant at utviklere som brukte AI-assistenter produserte kode med 40 % flere sikkerhetssårbarheter enn de som koder manuelt – og kritisk, følte seg mer trygge på sikkerheten til koden deres. Dette tillitsgapet er den virkelige faren. Vibe-kodere sender ikke bare usikker kode; de tror virkelig at de har bygget noe solid.

Utbredelsen av AI-bygde apper betyr at det nå er tusenvis av produksjonsapplikasjoner som håndterer ekte brukerdata som aldri har gjennomgått en sikkerhetsgjennomgang, penetrasjonstest eller til og med en manuell koderevisjon. Mange av disse appene er bygget av solo-gründere som mangler teknisk bakgrunn for å evaluere hva AI har produsert. Angrepsoverflaten er ikke en enkelt app – det er en hel generasjon programvare bygget på antakelsen om at AI-utdata er iboende pålitelig.

Vurder den typiske arbeidsflyten for vibe-koding og hvor sikkerheten faller igjennom:

1. Rask-drevet utvikling: Byggeren beskriver funksjoner på naturlig språk, uten å nevne sikkerhetskrav, autentiseringsmønstre eller retningslinjer for databeskyttelse.
2. Aksept uten gjennomgang: Generert kode er testet for funksjonalitet ("fungerer knappen?"), men aldri revidert for sikkerhet ("hvem andre kan få tilgang til disse dataene?").
3. Rask distribusjon: Appen går live i løpet av timer eller dager, uten iscenesettelsesmiljø, ingen sikkerhetstesting og ingen overvåking for uautorisert tilgang.
4. Skalering med eksponering: Etter hvert som brukere registrerer seg og oppgir personlige data, vokser eksplosjonsradiusen for enhver sårbarhet – men byggeren har ingen innsyn i potensielle trusler.
5. Oppdagelse av utenforstående: Sikkerhetsfeil blir til slutt funnet – ikke av byggherren, men av forskere, konkurrenter eller ondsinnede aktører.

Slik ser ansvarlig appbygging faktisk ut

Ingen av dette betyr at AI-assistert utvikling er iboende farlig, eller at ikke-tekniske grunnleggere ikke kan bygge legitime produkter. Det betyr at tilnærmingen krever rekkverk, bevissthet og - i mange tilfeller - en vilje til å bruke etablerte plattformer i stedet for å bygge fra bunnen av. Grunnleggende om sikkerhet som den eksponerte appen ikke klarte å implementere, er ikke valgfrie funksjoner. De er bordinnsatser for alle programmer som håndterer brukerdata.

For gründere og småbedriftsoperatører som trenger programvare for å drive virksomheten sin – CRM, fakturering, bestillinger, teamledelse – er den sikreste veien ofte å ikke bygge en tilpasset app i det hele tatt. Plattformer som Mewayz eksisterer nettopp for å eliminere denne risikoen. Med 207 forhåndsbygde moduler som dekker alt fra lønn og HR til flåtestyring, analyser og klientportaler, tilbyr Mewayz funksjonaliteten som vibe-kodere bruker uker på å prøve å replikere – bortsett fra med sikkerhet i bedriftsgrad, riktig autentisering, kryptert datahåndtering og et dedikert ingeniørteam som vedlikeholder infrastrukturen. De 138 000 brukerne som allerede er på plattformen drar nytte av sikkerhetspraksis som ingen solo-grunnlegger som ber en AI ved midnatt kan matche realistisk.

Beregningen er enkel: Hvis kjernevirksomheten din ikke er programvareutvikling, ville timene brukt på å kode en tilpasset app være bedre investert i å faktisk drive virksomheten din – ved å bruke verktøy som ble bygget, testet, revidert og vedlikeholdt av fagfolk.

Leksjoner for AI-assistert utviklingsæra

The Lovable-hendelsen er ikke en grunn til å forlate AI-assistert utvikling helt. AI-kodegenerering er et kraftig verktøy som virkelig akselererer programvareoppretting. Men et verktøy er bare så trygt som hendene som bruker det. En motorsag er uvurderlig for en utdannet arborist og katastrofal for noen som aldri har holdt en. Det samme prinsippet gjelder for fraktkode du aldri har lest til produksjonsservere som håndterer ekte brukerdata.

For de som velger å bygge tilpassede applikasjoner med AI-assistanse, er minimumssikkerhetssjekklisten ikke omsettelig:

• Aktiver og bekreft sikkerhet på radnivå på hver databasetabell som inneholder brukerdata – test den deretter ved å forsøke å få tilgang til andre brukeres poster.
• Aldri utsett API-nøkler i kode på klientsiden. Bruk miljøvariabler på serversiden og API-ruter for å holde hemmeligheter utenfor nettleseren.
• Implementer mellomvare for autentisering på hvert endepunkt som returnerer eller endrer brukerdata. Test med uautentiserte forespørsler.
• Legg til hastighetsbegrensning for å forhindre oppregningsangrep og brute-force-forsøk på pålogging og dataendepunkter.
• Kjør en grunnleggende sikkerhetsrevisjon før lansering – til og med gratisverktøy som OWASP ZAP kan fange opp de mest alvorlige sårbarhetene.
• Les den genererte koden. Hvis du ikke forstår den, ansett noen som kan vurdere den før du legger ekte brukerdata bak den.

De 18 000 brukerne hvis data ble avslørt, registrerte seg ikke vel vitende om at de betateste noens AI-eksperiment. De stolte på appen med informasjonen sin fordi den så profesjonell ut og fungerte riktig. Denne tilliten ble ikke krenket av et sofistikert nettangrep, men av uaktsomhet kledd ut som innovasjon. Ettersom AI-drevne utviklingsverktøy fortsetter å senke barrieren for å bygge programvare, må industrien – og individuelle byggherrer – sørge for at barrieren for å sende sikker programvare ikke faller med det.

Konklusjonen: Hastighet uten sikkerhet er bare hensynsløshet

Det er ubestridelig å bygge et komplett SaaS-produkt i løpet av en helg uten å bruke annet enn AI-oppfordringer. Men Lovable-hendelsen har gjort én ting smertelig klart: hastigheten du kan bygge en app med er meningsløs hvis du ikke kan garantere sikkerheten til menneskene som bruker den. For hver stemningskodede suksesshistorie som deles på sosiale medier, er det utallige antall applikasjoner i produksjon akkurat nå med nøyaktig de samme sårbarhetene – som bare venter på å bli oppdaget.

Enten du velger å bygge med AI-assistanse og investere i riktige sikkerhetsvurderinger, eller velger en kamptestet plattform som Mewayz som håndterer sikkerhetsinfrastruktur slik at du kan fokusere på å utvide virksomheten din, er imperativet det samme: behandle brukernes data med respekten de fortjener. I 2026 er "Jeg visste ikke at koden var usikker" lenger en unnskyldning. Det er et ansvar.

Ofte stilte spørsmål

Hva er "vibe coding" og hvorfor er det risikabelt?

Vibe-koding refererer til å bygge programvare ved å bruke AI-verktøy ved å beskrive hva du vil ha på naturlig språk, med minimal manuell kodegjennomgang. Risikoen er at AI-generert kode ofte mangler riktig sikkerhetsgrunnlag som autentisering, inngangsvalidering og datakryptering. Uten erfarne utviklere som gjennomgår resultatet, kan kritiske sårbarheter slippe gjennom uoppdaget, og potensielt utsette tusenvis av brukere for datainnbrudd og personvernbrudd.

Hvordan eksponerte den Lovable-vertsbaserte appen 18 000 brukere?

Appen inneholdt grunnleggende sikkerhetsfeil, inkludert eksponerte API-nøkler, manglende autentisering på databaseendepunkter og utilstrekkelig tilgangskontroll. Dette er grunnleggende sårbarheter som enhver erfaren utvikler vil fange under kodegjennomgang. Fordi appen hovedsakelig ble bygget gjennom AI-oppfordringer uten grundig sikkerhetsrevisjon, kunne angripere få tilgang til brukerdata direkte – noe som understreker hvorfor automatisert kodegenerering fortsatt krever menneskelig tilsyn og sikkerhetstesting.

Kan AI-bygde apper noen gang være sikre nok for produksjonsbruk?

Ja, men bare med riktig sikkerhetspraksis lagt på toppen. Generering av AI-kode er et utgangspunkt, ikke et ferdig produkt. Bedrifter trenger kodegjennomganger, penetrasjonstesting og sikker infrastruktur. Plattformer som Mewayz reduserer dette ved å tilby et forhåndsbygd, sikkerhetsrevidert bedrifts-OS med 207 moduler som starter på $19/md – slik at du får produksjonsklare verktøy uten å skrive sårbar kode fra bunnen av.

Hva bør bedrifter lære av denne hendelsen?

Det viktigste er at hastighet aldri skal gå på bekostning av sikkerhet. Før du starter en app som håndterer brukerdata, må du utføre grundige sikkerhetsrevisjoner uavhengig av hvordan den ble bygget. Vurder å bruke etablerte plattformer med dokumenterte sikkerhetsspor i stedet for å distribuere uprøvd AI-generert kode. Å beskytte brukernes tillit er langt mer verdifullt enn å spare noen timer med utviklingstid.