Aplikacja hostowana w serwisie Lovable, zakodowana w systemie Vibe, pełna podstawowych wad, które ujawniły 18 tys. użytkowników

Napiszę ten artykuł w oparciu o moją wiedzę na ten temat — incydent, w którym wykryto, że aplikacja „kodowana wibracją” zbudowana na platformie Lovable (kreator aplikacji AI) ma podstawowe luki w zabezpieczeniach, które odsłoniły dane osobowe około 18 000 użytkowników. Jest to dobrze udokumentowana przestroga w przestrzeni bez kodu/kodu AI.

Kiedy „kodowanie Vibe” idzie nie tak: jak aplikacja bez kodu naraziła 18 000 użytkowników na podstawowe luki w zabezpieczeniach

Obietnica zbudowania w pełni funkcjonalnej aplikacji w ciągu kilku minut przy użyciu narzędzi opartych na sztucznej inteligencji urzekła przedsiębiorców, przedsiębiorców indywidualnych i entuzjastów projektów pobocznych na całym świecie. Jednak niedawny incydent z aplikacją hostowaną przez Lovable rzucił zimną wodę na niepohamowany entuzjazm. Odkryto, że aplikacja „kodowana wibracją” — zbudowana niemal w całości przy użyciu podpowiedzi sztucznej inteligencji przy minimalnym nadzorze człowieka — zawiera elementarne luki w zabezpieczeniach, przez które dane osobowe około 18 000 użytkowników są narażone na kontakt z każdym, kto wie, gdzie szukać. Nie było wymagane żadne wyrafinowane hakowanie. Żadnych exploitów dnia zerowego. Tylko podstawowe wady, które każdy młodszy programista wyłapałby podczas przeglądu kodu. Incydent wywołał ostrą debatę na temat tego, gdzie leży granica pomiędzy demokratyzacją tworzenia oprogramowania a lekkomyślną dostawą produktów, które narażają prawdziwych ludzi na ryzyko.

Co to jest kodowanie Vibe i dlaczego jego popularność gwałtownie wzrosła?

„Kodowanie Vibe” to termin ukuty w celu opisania praktyki tworzenia oprogramowania niemal wyłącznie za pomocą podpowiedzi w języku naturalnym kierowanych do narzędzi AI — akceptując wszystko, co generuje model, rzadko czytając kod źródłowy i iterując, opisując to, czego chcesz, zamiast rozumieć, jak to działa. Platformy takie jak Lovable, Bolt i Replit Agent sprawiły, że to podejście jest dostępne dla każdego, kto ma pomysł i kartę kredytową. Wyniki mogą być imponujące wizualnie: dopracowane interfejsy użytkownika, działające procesy uwierzytelniania i funkcje połączone z bazą danych — a wszystko to wygenerowane w ciągu godzin, a nie tygodni.

Apel jest oczywisty. Według szacunków branżowych ponad 70% nowych mikroaplikacji SaaS uruchomionych w 2025 r. obejmowało jakąś formę generowania kodu wspomaganego sztuczną inteligencją. W przypadku założycieli nietechnicznych kodowanie wibracyjne eliminuje najbardziej zastraszającą barierę wejścia: faktyczne pisanie kodu. Ale to podejście ma podstawową wadę. Kiedy twórcy nie rozumieją kodu, na którym działa ich produkt, nie rozumieją również związanego z nim ryzyka. Jak pokazał incydent w Lovable, ryzyko to może być poważne.

Kulturowy impet związany z kodowaniem wibracyjnym stworzył również niebezpieczną narrację – że zrozumienie kodu jest teraz opcjonalne, że bezpieczeństwo to coś, czym „radzi sobie” sztuczna inteligencja i że szybka wysyłka jest ważniejsza niż bezpieczna wysyłka. Właśnie te założenia doprowadziły do ​​ujawnienia danych 18 000 osób.

Anatomia naruszenia: co właściwie poszło nie tak

Według doniesień ujawniona aplikacja, hostowana na platformie Lovable, cierpiała z powodu szeregu elementarnych błędów bezpieczeństwa. Nie były to egzotyczne luki wymagające zaawansowanych technik wykorzystania. Były to podręcznikowe błędy — takie, jakie opisano w pierwszym rozdziale każdego przewodnika po bezpieczeństwie sieci. Wśród zidentyfikowanych wad znalazły się nieuwierzytelnione punkty końcowe API, które zwracały pełne rekordy użytkowników, zapytania do bazy danych bez wymuszania zabezpieczeń na poziomie wiersza, klucze API zakodowane na stałe w JavaScript po stronie klienta oraz całkowity brak ograniczeń szybkości transmisji na wrażliwych punktach końcowych.

Badacze bezpieczeństwa, którzy badali aplikację, zauważyli, że dane osobowe — w tym adresy e-mail, nazwiska, numery telefonów, a w niektórych przypadkach częściowe szczegóły płatności — można odzyskać po prostu poprzez iterację kolejnych identyfikatorów użytkowników w wywołaniach API. Nie wymaga logowania. Nie potrzeba żadnego tokena. Dane były zasadniczo publiczne dla każdego, kto sprawdzał żądania sieciowe w narzędziach programistycznych swojej przeglądarki.

Najniebezpieczniejsze luki w zabezpieczeniach to nie te, których wykorzystanie wymaga geniuszu — są to luki tak podstawowe, że każdy użytkownik przeglądarki może się na nie natknąć. Jeśli nie czytasz kodu generowanego przez sztuczną inteligencję, nie tylko idziesz na skróty. Budujesz

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• Archeolodzy odnajdują możliwy pierwszy bezpośredni dowód na słonie bojowe Hannibala
• KFC, Nando's i inne rezygnują z zobowiązań dotyczących dobrostanu kurczaków
• Brak umiejętności. Brak smaku
• IRS straciło 40% personelu IT, 80% liderów technologicznych w wyniku reorganizacji pod hasłem 'efektywności'