Hacker News

L'aplicacion Lovable-hosted codificada per vibe escombrada de defauts de basa expausava 18K utilizaires

Comentaris

16 min read Via www.theregister.com

Mewayz Team

Editorial Team

Hacker News
Escriurèi l'article en foncion de ma coneissença d'aqueste tèma — l'incident ont una aplicacion "vibe coded" bastida sus Lovable (un constructor d'aplicacions d'IA) foguèt trobada aver de defauts de seguretat de basa qu'expausèron las donadas personalas d'aperaquí 18 000 utilizaires. Aquò's un conte de precaucion plan documentat dins l'espaci sens còde/còde IA.

Quand "Vibe Coding" va mal: cossí una aplicacion sens còde expausèt 18 000 utilizaires a de defauts de seguretat de basa

La promessa de bastir una aplicacion completament foncionala en qualques minutas en utilizant d'aisinas alimentadas per l'IA a captivat d'entrepreneires, d'entrepreneires sols e d'apassionats de projèctes secundaris dins lo mond entièr. Mas un incident recent implicant una aplicacion albergada per Lovable a botat d'aiga freja sus l'entusiasme desfrenat. Una aplicacion "vibe coded" — bastida gaireben entièrament a travèrs d'invitacions d'IA amb una supervision umana minimala — foguèt descobèrta per conténer de vulnerabilitats de seguretat elementàrias que daissavan las donadas personalas d'aperaquí 18 000 utilizaires expausadas a qui que siá que sabiá ont cercar. Cap de piratatge sofisticat èra pas requerit. Pas d'expleitacions de jorn zèro. Sonque de defauts de basa que quin desvolopaire junior que siá auriá trapat dins una revista de còde. L'incident a enflamat un debat ferotge sus ont tomba la linha entre democratizar lo desvolopament de logicials e l'expedicion imprudenta de produchs que meton de personas realas en risc.

Qu'es lo codatge de vibe, e perqué a esclatat en popularitat?

"Vibe coding" es un tèrme inventat per descriure la practica de bastir de logicials gaireben entièrament a travèrs d'indicacions en lenga naturala a d'aisinas d'IA — acceptar çò que lo modèl genera, legir rarament lo còde sosjacent, e iterar en descrivint çò que volètz puslèu que de comprene cossí fonciona. De plataformas coma Lovable, Bolt, e Replit Agent an rendut aquel apròchi accessible a qui que siá amb una idèa e una carta de crèdit. Los resultats pòdon èsser visualament impressionants : d'interfàcias d'interfàcia polida, de fluxes d'autentificacion foncionant, e de foncionalitats connectadas a la basa de donadas — tot generat en oras en luòc de setmanas.

L'apèl es evident. Segon las estimacions de l'industria, mai de 70% de las novèlas micro-aplicacions SaaS lançadas en 2025 implicavan una forma de generacion de còde assistida per l'IA. Pels fondators non tecnics, lo codatge vibe elimina la barrèra mai intimidanta a l'intrada: l'escritura de còde. Mas l'apròchi pòrta un defaut fondamental. Quand los constructors comprenon pas lo còde qu'executa lor produch, comprenon pas tanben los risques encastrats dins el. E coma l'incident Lovable o demostrèt, aqueles risques pòdon èsser grèus.

L'impulsion culturala darrièr lo codatge de vibracion a tanben creat una narracion dangierosa — que la compreneson del còde es ara facultativa, que la seguretat es quicòm que l'IA "maneja", e que l'expedicion rapida importa mai que l'expedicion en seguretat. Aquelas suposicions son exactament çò que menèt a 18 000 personas a aver lors donadas expausadas.

Anatomia de la violacion: çò que s'es passat mal

L'aplicacion expausada, albergada sus la plataforma de Lovable, segon çò que se ditz, patiguèt d'una constellacion de falhas de seguretat elementàrias. Aquò èran pas de vulnerabilitats exoticas que demandavan de tecnicas d'espleitacion avançadas. Èran d'errors de libre de tèxte — la mena cobèrta dins lo primièr capítol de quin guida de seguretat web que siá. Demest los defauts identificats i aviá de punts finals API non autentificats que retornavan d'enregistraments d'utilizaire complets, de requèstas de basa de donadas sens seguretat a nivèl de linha aplicada, de claus API hardcodadas dirèctament dins JavaScript del costat client, e una abséncia completa de limitacion de taus suls punts finals sensibles.

Los cercaires de seguretat qu'an examinat l'aplicacion soslinhèron que las informacions personalas — inclusent d'adreças de corrièl, de noms, de numèros de telefòn, e dins qualques cases de detalhs de pagament parcials — poirián èsser recuperadas simplament en iterant a travèrs d'identificants d'utilizaire sequencials dins d'apèls API. Pas de connexion requerida. Pas de geton necessari. Las donadas èran essencialament publicas a qui que siá qu'inspeccionèt las requèstas de ret dins las aisinas de desvolopaire de son navigador.

Las vulnerabilitats de seguretat mai perilhosas son pas las que demandan de gèni per las esplechar — son las tan basicas que qual que siá amb un navigador pòt tombar sus elas. Quand legissètz pas lo còde que vòstra IA genera, sètz pas sonque a talhar de cantons. Bastissètz un ostal sens serralhas e esperatz que degun ensaja pas la pòrta.

La causa racinala: la fisança sens verificacion

Al còr d'aqueste incident se tròba un modèl que los professionals de la seguretat an avertit dempuèi que las aisinas de generacion de còde d'IA ganhèron de traccion. Lo desvolopaire — o mai precisament, l'engenhaire rapid — faguèt confiéncia implicitament a la sortida de l'IA. Quand l'aplicacion semblava foncionar, se supausava qu'èra prèsta a la produccion. Mas "fonciona" e "segur" son d'estandards entièrament diferents. Un endpoint API pòt tornar las donadas corrèctas per l'utilizaire corrècte e tornar a l'encòp aquelas meteissas donadas a cada visitor non autorizat sus internet.

Los generators de còde d'IA son optimizats per la correccion foncionala, pas per la resiliéncia adversària. Produson de còde que satisfa l'invitacion, pas de còde qu'anticipa cossí un actor malvolent ne poiriá abusar. Las politicas de seguretat a nivèl de linha, la desinfeccion de las entradas, lo middleware d'autentificacion, la configuracion CORS e la limitacion de taus son totas las preocupacions que demandan una implementacion deliberada e conscienta de la seguretat. Emergisson rarament naturalament d'invitacions coma "bastir-me un tablèu de bòrd d'utilizaire."

La quita plataforma Lovable provesís Supabase coma son backend, qu'ofrís de foncionalitats de seguretat robustas — inclusent de politicas de seguretat a nivèl de linha (RLS). Mas aquestas foncionalitats devon èsser explicitament activadas e configuradas corrèctament. Lo còde generat per l'IA dins aqueste cas siá fracassat a activar RLS siá l'a configurat incorrèctament, en creant un calc de donadas dobèrt darrièr un frontend polit. La leiçon es clara: las capacitats de seguretat de la plataforma son irrelevantas se lo còde generat las utiliza pas.

Perqué aquò's un problèma sistemic, pas un incident isolat

Seriá confortant de refusar aquò coma un fracàs unic d'un individú negligent. Mas las pròvas suggerís que lo problèma es estructural. Un estudi de Stanford de 2025 trobèt que los desvolopaires utilizant d'assistents d'IA produsissián de còde amb 40% mai de vulnerabilitats de seguretat qu'aqueles que codificavan manualament — e criticament, se sentissián mai segurs de la seguretat de lor còde. Aquel desfasament de fisança es lo vertadièr perilh. Los codificators vibe son pas sonque a mandar de còde insegur; creson vertadièrament qu'an bastit quicòm de solide.

La proliferacion d'aplicacions creadas per l'IA significa que i a ara de milièrs d'aplicacions de produccion que gestionan de donadas d'utilizaires realas qu'an pas jamai subit una revision de seguretat, un tèst de penetracion, o quitament una auditoria de còde manuala. Fòrça d'aquelas aplicacions son bastidas per de fondators sols que mancan de formacion tecnica per avalorar çò que l'IA a produsit. La superfícia d'ataca es pas una sola aplicacion — es una generacion entièra de logicials bastit sus l'ipotèsi que la sortida de l'IA es intrinsècament fisabla.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Consideratz lo flux de trabalh de codatge vibe tipic e ont la seguretat tomba a travèrs las fendasclas :

  1. Desvolopament basat sus l'indicacion : Lo constructor descriu las foncionalitats en lenga naturala, sens mencion de las exigéncias de seguretat, dels modèls d'autentificacion o de las politicas de proteccion de las donadas.
  2. Acceptacion sens revision : Lo còde generat es testat per la foncionalitat ("lo boton fonciona ?") mas jamai auditat per la seguretat ("qual mai pòt accedir a aquestas donadas?").
  3. Desplegament rapid: L'aplicacion met en dirècte dins d'oras o de jorns, sens environament de mesa en scèna, sens tèst de seguretat, e sens susvelhança per un accès non autorizat.
  4. Escalatge amb l'exposicion: A mesura que los utilizaires s'inscrivon e provesisson de donadas personalas, lo rai d'explosion de tota vulnerabilitat creis — mas lo constructor a pas cap de visibilitat de las menaças potencialas.
  5. Descobèrta per d'estrangièrs: De defauts de seguretat son eventualament trobats — pas pel constructor, mas pels cercaires, concurrents, o actors malvolents.

A qué sembla en realitat la construccion d'aplicacions responsabla

Res d'aquò vòl pas dire que lo desvolopament assistit per l'IA es intrinsècament perilhós, o que los fondators non tecnics pòdon pas bastir de produches legitims. Vòl dire que l'apròchi demanda de barralhas, de consciéncia, e — dins fòrça cases — una volontat d'utilizar de plataformas establidas puslèu que de bastir de zéro. Las basas de seguretat que l'aplicacion expausada a fracassat a implementar son pas de foncionalitats opcionalas. Son d'enjòcs de taula per tota aplicacion que gestiona las donadas d'utilizaire.

Pels fondators e operators de pichonas entrepresas qu'an besonh de logicials per executar lors operacions — CRM, facturacion, reservacions, gestion de l'equipa — lo camin mai segur es sovent de pas bastir brica una aplicacion personalizada. De plataformas coma Mewayz existisson justament per eliminar aquel risc. Amb 207 moduls preconstruches que cobrisson tot, de la nòmina e de las RH a la gestion de la flòta, l'analisi e los portals de clients, Mewayz provesís la foncionalitat que los codificators de vibe passan de setmanas a ensajar de replicar — levat amb la seguretat de nivèl d'entrepresa, l'autentificacion corrècta, la gestion de donadas chifradas, e una còla d'engenharia dedicada a manténer l'infrastructura. Los 138 000 utilizaires ja sus la plataforma benefician de practicas de seguretat que cap de fondator solitari que provoca una IA a mièjanuèch pòt pas realistament correspondre.

Lo calcul es simple: se vòstre negòci principal es pas lo desvolopament de logicials, las oras passadas a codificar una aplicacion personalizada serián melhor investidas per far foncionar vòstre negòci — en utilizant d'aisinas que foguèron bastidas, testadas, auditadas e mantengudas per de professionals.

Leiçons per l'èra del desvolopament assistit per l'IA

L'incident Lovable es pas una rason per abandonar entièrament lo desvolopament assistit per l'IA. La generacion de còde d'IA es una aisina poderosa qu'accelera vertadièrament la creacion de logicials. Mas un esturment es pas que tan segur coma las mans que l'emplegan. Una motosèga es inestimabla per un arborista format e catastrofica per qualqu'un que n'a pas jamai tengut una. Lo meteis principi s'aplica al còde d'expedicion qu'avètz pas jamai legit als servidors de produccion que gestionan de donadas d'utilizaire realas.

Per los que causisson de bastir d'aplicacions personalizadas amb l'assisténcia d'IA, la lista de contraròtle minimala de seguretat viable es pas negociabla :

  • Activar e verificar la seguretat a nivèl de linha sus cada taula de basa de donadas que conten de donadas d'utilizaire — puèi testatz-la en ensajar d'accedir als enregistraments d'autres utilizaires.
  • Expausar pas jamai las claus API dins lo còde del costat client. Utilizatz las variablas d'environament del costat del servidor e las rotas API per gardar los secrets fòra del navigador.
  • Implementar lo middleware d'autentificacion sus cada ponch final que retorna o modifica las donadas d'utilizaire. Pròva amb de requèstas non autentificadas.
  • Apondètz de limitacion de taus per prevenir d'atacas d'enumeracion e d'ensags de fòrça bruta suls punts finals de connexion e de donadas.
  • Executar una auditoria de seguretat de basa abans lo lançament — quitament d'aisinas gratuitas coma OWASP ZAP pòdon atrapar las vulnerabilitats mai egregias.
  • Legissètz lo còde generat. Se lo podètz pas comprene, contractatz qualqu'un que lo pòsca revisar abans de metre las donadas d'utilizaires reals darrièr el.

Los 18 000 utilizaires que lors donadas èran expausadas s'inscriguèron pas en sabent qu'èran en tèst beta de l'experiéncia d'IA de qualqu'un. Faguèron confiéncia a l'aplicacion amb lors informacions perque semblava professionala e foncionava corrèctament. Aquela fisança foguèt violada non pas per una ciberataca sofisticada, mas per una negligéncia vestida d'innovacion. Coma las aisinas de desvolopament alimentadas per l'IA contunhan de baissar la barrèra a la construccion de logicials, l'industria — e los constructors individuals — devon s'assegurar que la barrèra a l'expedicion de logicials segurs davala pas amb ela.

La linha de fons: la velocitat sens seguretat es pas que l'imprudéncia

L'atraccion de bastir un produch SaaS complet pendent una dimenjada en utilizant pas que d'invitacions d'IA es innegabla. Mas l'incident de Lovable a fach una causa dolorosament clara: la velocitat a la quala podètz bastir una aplicacion es sens sens se podètz pas garantir la seguretat de las personas que l'utilizan. Per cada istòria de succès codificada per vibe partejada suls mèdias socials, i a un nombre innombrable d'aplicacions en produccion ara amb las meteissas vulnerabilitats exactas — qu'espèran d'èsser descobèrtas.

Que causissètz de bastir amb l'assisténcia d'IA e d'investir dins de revistas de seguretat corrèctas, o causissètz una plataforma testada en batalha coma Mewayz que gestiona l'infrastructura de seguretat per que poscatz vos concentrar sus la creissença de vòstre negòci, l'imperatiu es lo meteis: tractatz las donadas de vòstres utilizaires amb lo respècte que s'ameritava. En 2026, "Sabiái pas que lo còde èra pas segur" es pas pus una excusa. Es un passiu.

Questions frequentas

Qué es "vibe coding" e perqué es riscat?

Lo codatge vibe fa referéncia a la construccion de logicials en utilizant d'aisinas d'IA en descrivent çò que volètz en lenga naturala, amb una revision manuala del còde minimala. Lo risc es que lo còde generat per l'IA manca sovent de fondamentals de seguretat corrèctes coma l'autentificacion, la validacion de l'entrada e lo chiframent de donadas. Sens de desvolopaires experimentats que revisan la sortida, de vulnerabilitats criticas pòdon s'escapar sens èsser detectadas, en expausant potencialament de milièrs d'utilizaires a de violacions de donadas e de violacions de vida privada.

Cossí l'aplicacion albergada per Lovable expausèt 18 000 utilizaires?

L'aplicacion conteniá de defauts de seguretat de basa, inclusent de claus API expausadas, l'autentificacion mancanta suls endpoints de basa de donadas, e de contraròtles d'accès inadequats. Aquestas son de vulnerabilitats fondamentalas que quin desvolopaire que siá experimentat captariá pendent la revision del còde. Perque l'aplicacion foguèt bastida subretot a travèrs d'invitacions d'IA sens una auditoria de seguretat minuciosa, los atacants poirián accedir dirèctament a las donadas de l'utilizaire — en soslinhant perqué la generacion automatizada de còde demanda encara una supervision umana e de tèsts de seguretat.

Las aplicacions creadas per l'IA pòdon jamai èsser pro seguras per l'usatge de produccion ?

Òc, mas sonque amb de practicas de seguretat corrèctas plaçadas en dessús. La generacion de còde d'IA es un punt de partença, pas un produch acabat. Las entrepresas an besonh de revisions de còde, de tèsts de penetracion e d'infrastructuras seguras. De plataformas coma Mewayz mitigan aquò en provesissent un SO de negòci pre-construit, auditat per la seguretat amb 207 moduls a partir de $19/mo — per que obtenètz d'aisinas prèstas a la produccion sens escriure de còde vulnerable de zéro.

Qué deurián aprene las entrepresas d'aqueste incident?

La conclusion clau es que la velocitat deuriá pas jamai venir al prètz de la seguretat. Abans de lançar quina aplicacion que siá que gestiona las donadas d'utilizaire, menatz d'auditorias de seguretat minuciosas independentament de cossí foguèt bastida. Pensatz a utilizar de plataformas establidas amb de registres de seguretat provats puslèu que de desplegar de còde generat per l'IA non testat. Protegir la fisança dels utilizaires es fòrça mai preciós qu'estalviar qualques oras de temps de desvolopament.