Приложение с кодом Vibe, размещенное на хостинге Lovable, изобилует основными недостатками, обнародованными 18 тысячами пользователей

Я напишу статью, основываясь на своих знаниях по этой теме — инциденте, когда в приложении с «вайбер-кодом», созданном на основе Lovable (разработчика приложений искусственного интеллекта), были обнаружены базовые недостатки безопасности, в результате которых были раскрыты личные данные примерно 18 000 пользователей. Это хорошо задокументированная предостерегающая история в области отсутствия кода и искусственного интеллекта.

Когда «кодирование Vibe» идет не так: как приложение без кода подвергло 18 000 пользователей элементарным недостаткам безопасности

Обещание создать полнофункциональное приложение за считанные минуты с использованием инструментов на базе искусственного интеллекта привлекло предпринимателей, индивидуальных предпринимателей и энтузиастов сторонних проектов по всему миру. Но недавний инцидент с приложением, размещенным на сервере Lovable, охладил необузданный энтузиазм. Было обнаружено, что приложение с «вайбер-кодом», созданное почти полностью с помощью подсказок искусственного интеллекта при минимальном человеческом контроле, содержит элементарные уязвимости безопасности, из-за которых личные данные примерно 18 000 пользователей становятся доступными любому, кто знает, где искать. Никакого сложного взлома не потребовалось. Никаких эксплойтов нулевого дня. Просто базовые недостатки, которые любой младший разработчик уловил бы при проверке кода. Этот инцидент вызвал ожесточенные дебаты о том, где проходит грань между демократизацией разработки программного обеспечения и безрассудной поставкой продуктов, подвергающих риску реальных людей.

Что такое Vibe-кодирование и почему оно приобрело такую ​​популярность?

«Вайб-кодирование» — это термин, придуманный для описания практики создания программного обеспечения почти полностью с помощью подсказок на естественном языке для инструментов ИИ — принятия всего, что генерирует модель, редкого чтения базового кода и повторения, описывая то, что вы хотите, вместо понимания того, как это работает. Такие платформы, как Lovable, Bolt и Replit Agent, сделали этот подход доступным для всех, у кого есть идея и кредитная карта. Результаты могут быть визуально впечатляющими: отточенные пользовательские интерфейсы, рабочие процессы аутентификации и функции, связанные с базой данных, — все это создается за часы, а не за недели.

Привлекательность очевидна. По отраслевым оценкам, более 70% новых микроприложений SaaS, запущенных в 2025 году, в той или иной форме использовали генерацию кода с помощью искусственного интеллекта. Для нетехнических основателей vibe-кодирование устраняет самый пугающий барьер для входа: собственно написание кода. Но этот подход несет в себе фундаментальный недостаток. Когда разработчики не понимают код, на котором работает их продукт, они также не понимают рисков, заложенных в нем. И как показал инцидент с Lovable, эти риски могут быть серьезными.

Культурный импульс, лежащий в основе кодирования вибрации, также создал опасную историю: понимание кода теперь не является обязательным, безопасность — это то, чем «занимается» ИИ, и что быстрая доставка важнее, чем безопасная доставка. Именно эти предположения привели к тому, что данные 18 000 человек были раскрыты.

Анатомия нарушения: что на самом деле пошло не так

Сообщается, что раскрытое приложение, размещенное на платформе Lovable, пострадало от целого ряда элементарных сбоев в системе безопасности. Это не были экзотические уязвимости, требующие передовых методов эксплуатации. Это были хрестоматийные ошибки, описанные в первой главе любого руководства по веб-безопасности. Среди обнаруженных недостатков были неаутентифицированные конечные точки API, которые возвращали полные записи пользователей, запросы к базе данных без обеспечения безопасности на уровне строк, ключи API, жестко закодированные непосредственно в клиентском JavaScript, а также полное отсутствие ограничения скорости на чувствительных конечных точках.

Исследователи безопасности, исследовавшие приложение, отметили, что личную информацию, включая адреса электронной почты, имена, номера телефонов и в некоторых случаях частичные платежные реквизиты, можно получить, просто перебирая последовательные идентификаторы пользователей в вызовах API. Вход в систему не требуется. Токен не нужен. Данные были по существу общедоступны для всех, кто проверял сетевые запросы в инструментах разработчика своего браузера.

Самые опасные уязвимости безопасности — это не те, для использования которых требуется гениальность — они настолько просты, что любой, у кого есть браузер, может наткнуться на них. Если вы не читаете код, который генерирует ваш ИИ, вы не просто срезаете углы. Вы строите

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• Малоизвестный инструмент песочницы командной строки macOS (2025 г.)
• Мы больше не привлекаем лучших специалистов: утечка мозгов, убивающая американскую науку
• Я использовал Claude Code и GSD, чтобы создать инструмент доступности, о котором всегда мечтал
• Еда динозавров: продукты возрастом 100 миллионов лет, которые мы едим до сих пор (2022)