Temel kusurlarla dolu, Vibe kodlu Lovable tarafından barındırılan uygulama 18.000 kullanıcıyı açığa çıkardı

Makaleyi bu konuyla ilgili bilgilerime dayanarak yazacağım - Lovable (bir yapay zeka uygulama oluşturucusu) üzerine kurulu "hissetme kodlu" bir uygulamanın, yaklaşık 18.000 kullanıcının kişisel verilerini açığa çıkaran temel güvenlik kusurlarına sahip olduğunun tespit edildiği olay. Bu, kodsuz/yapay zekalı kod alanında iyi belgelenmiş, uyarıcı bir öyküdür.

"Vibe Coding" Yanlış Gittiğinde: Kodsuz Bir Uygulama 18.000 Kullanıcıyı Temel Güvenlik Kusurlarına Nasıl Maruz Bıraktı?

Yapay zeka destekli araçları kullanarak dakikalar içinde tamamen işlevsel bir uygulama oluşturma vaadi, dünya çapındaki girişimcileri, solo girişimcileri ve yan proje meraklılarını büyüledi. Ancak Lovable tarafından barındırılan bir uygulamayı içeren yakın tarihli bir olay, dizginsiz coşkunun üzerine soğuk su döktü. Neredeyse tamamı minimum düzeyde insan gözetimi ile yapay zeka yönlendirmeleri yoluyla oluşturulan "hissetme kodlu" bir uygulamanın, yaklaşık 18.000 kullanıcının kişisel verilerini nereye bakacağını bilen herkesin erişimine açık bırakan temel güvenlik açıkları içerdiği keşfedildi. Gelişmiş bir hackleme işlemine gerek yoktu. Sıfır gün istismarı yok. Sadece herhangi bir acemi geliştiricinin kod incelemesinde yakalayabileceği temel kusurlar. Olay, yazılım geliştirmeyi demokratikleştirmek ile gerçek insanları riske sokan ürünleri pervasızca piyasaya sürmek arasındaki çizginin nerede olduğu konusunda şiddetli bir tartışmayı ateşledi.

Vibe Kodlama Nedir ve Popülerliği Neden Arttı?

"Vibe coding", neredeyse tamamen yapay zeka araçlarına doğal dildeki yönlendirmeler yoluyla yazılım oluşturma uygulamasını tanımlamak için türetilmiş bir terimdir; modelin ürettiği her şeyi kabul etmek, temeldeki kodu nadiren okumak ve nasıl çalıştığını anlamak yerine ne istediğinizi açıklayarak yinelemek. Lovable, Bolt ve Replit Agent gibi platformlar bu yaklaşımı, fikri ve kredi kartı olan herkesin erişimine açtı. Sonuçlar görsel olarak etkileyici olabilir: gösterişli kullanıcı arayüzleri, çalışan kimlik doğrulama akışları ve veritabanına bağlı özellikler; hepsi haftalar yerine saatler içinde oluşturulur.

İtiraz açıktır. Sektör tahminlerine göre, 2025'te başlatılan yeni SaaS mikro uygulamalarının %70'inden fazlası, bir tür yapay zeka destekli kod oluşturmayı içeriyordu. Teknik bilgisi olmayan kurucular için, titreşim kodlama, girişin önündeki en korkutucu engeli ortadan kaldırır: aslında kod yazmak. Ancak yaklaşım temel bir kusur taşıyor. İnşaatçılar, ürünlerini çalıştıran kodu anlamadıklarında, aynı zamanda bu kodun içerdiği riskleri de anlamazlar. Ve Lovable olayının da gösterdiği gibi, bu riskler ciddi olabilir.

Vibe kodlamanın ardındaki kültürel ivme aynı zamanda tehlikeli bir anlatı da yarattı; kodu anlamanın artık isteğe bağlı olduğu, güvenliğin yapay zekanın "başa çıktığı" bir şey olduğu ve hızlı sevkiyatın, güvenli sevkiyattan daha önemli olduğu. Bu varsayımlar tam olarak 18.000 kişinin verilerinin açığa çıkmasına neden oldu.

İhlalin Anatomisi: Aslında Yanlış Giden Neydi

Lovable'ın platformunda barındırılan açıkta kalan uygulamanın, bir dizi temel güvenlik arızasından muzdarip olduğu bildirildi. Bunlar ileri düzeyde yararlanma teknikleri gerektiren egzotik güvenlik açıkları değildi. Bunlar, herhangi bir web güvenliği kılavuzunun ilk bölümünde ele alınan türden ders kitabı hatalarıydı. Belirlenen kusurlar arasında, tam kullanıcı kayıtlarını döndüren kimliği doğrulanmamış API uç noktaları, satır düzeyinde güvenlik uygulanmayan veritabanı sorguları, doğrudan istemci tarafı JavaScript'e sabit kodlanmış API anahtarları ve hassas uç noktalarda hız sınırlamasının tamamen bulunmaması yer alıyordu.

Uygulamayı inceleyen güvenlik araştırmacıları, e-posta adresleri, adlar, telefon numaraları ve bazı durumlarda kısmi ödeme ayrıntıları dahil olmak üzere kişisel bilgilerin, API çağrılarında sıralı kullanıcı kimlikleri aracılığıyla kolayca yinelenebileceğini belirtti. Giriş yapmanıza gerek yok. Jeton gerekmez. Veriler aslında tarayıcılarının geliştirici araçlarındaki ağ isteklerini denetleyen herkese açıktı.

En tehlikeli güvenlik açıkları, istismar edilmesi dahi gerektirenler değildir; bunlar, tarayıcısı olan herkesin karşılaşabileceği kadar basit olanlardır. Yapay zekanızın ürettiği kodu okumadığınızda, sadece işin kolayına kaçmış olmuyorsunuz. Bir şey inşa ediyorsun

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• macOS'un Az Bilinen Komut Satırı Korumalı Alan Aracı (2025)
• Çocuk Oyuncağı: Teknolojinin yeni nesli ve düşünmenin sonu
• CXMT, DDR4 yongalarını mevcut piyasa fiyatının yaklaşık yarısı kadar fiyatla sunuyor
• DJB'nin Şifreleme Macerası: Kod Kahramanından Standartlar At Sineğine