Додаток, розміщений на Lovable, у коді Vibe, усіяний основними недоліками, виявив 18 тисяч користувачів

Я напишу статтю, базуючись на моїх знаннях цієї теми — інцидент, коли програма з кодуванням Vibe, створена на Lovable (розробнику програм зі штучним інтелектом), виявилася з основними недоліками безпеки, які розкрили особисті дані приблизно 18 000 користувачів. Це добре задокументована історія-застереження щодо безкоду/штучного коду.

Коли «кодування Vibe» йде не так: як додаток без коду піддав 18 000 користувачів основним недолікам безпеки

Обіцянка створити повнофункціональну програму за лічені хвилини за допомогою інструментів на основі штучного інтелекту захопила підприємців, соло-підприємців і ентузіастів побічних проектів у всьому світі. Але недавній інцидент із додатком, розміщеним на Lovable, пролив холодну воду на нестримний ентузіазм. Виявилося, що програма з кодуванням Vibe, створена майже повністю за допомогою підказок штучного інтелекту з мінімальним наглядом людини, містить елементарні вразливості безпеки, через які особисті дані приблизно 18 000 користувачів стали відкритими для всіх, хто знав, де шукати. Ніякого складного злому не було потрібно. Без експлойтів нульового дня. Просто базові недоліки, які будь-який молодший розробник виявив би під час перевірки коду. Інцидент розпалив запеклі дебати про те, де проходить межа між демократизацією розробки програмного забезпечення та необачною доставкою продуктів, які піддають ризику реальних людей.

Що таке Vibe Coding і чому воно стало популярним?

«Кодування Vibe» — це термін, створений для опису практики створення програмного забезпечення майже повністю за допомогою підказок інструментів штучного інтелекту на природній мові — приймаючи будь-що, що генерує модель, рідко читаючи базовий код і повторюючи, описуючи те, що ви хочете, а не розуміючи, як це працює. Такі платформи, як Lovable, Bolt і Replit Agent, зробили цей підхід доступним для всіх, хто має ідею та кредитну картку. Результати можуть бути візуально вражаючими: відшліфовані інтерфейси користувача, робочі потоки автентифікації та функції, підключені до бази даних — усе це створено за години, а не за тижні.

Привабливість очевидна. Згідно з галузевими оцінками, понад 70% нових мікропрограм SaaS, запущених у 2025 році, включали певну форму генерації коду за допомогою ШІ. Для засновників, які не є технічними фахівцями, кодування Vibe усуває найстрашнішу перешкоду для входу: фактичне написання коду. Але цей підхід має фундаментальний недолік. Коли розробники не розуміють коду, на якому працює їхній продукт, вони також не розуміють ризиків, закладених у ньому. І, як показав інцидент з Lovable, ці ризики можуть бути серйозними.

Культурний імпульс, який стоїть за кодуванням vibe, також створив небезпечний наратив — що розуміння коду тепер необов’язкове, що безпека — це те, чим «займається» ШІ, і що швидка доставка важливіша за безпечну. Саме ці припущення призвели до того, що дані 18 000 людей були розкриті.

Анатомія порушення: що насправді пішло не так

Повідомляється, що викрита програма, розміщена на платформі Lovable, страждала від ряду елементарних збоїв безпеки. Це не були екзотичні уразливості, які вимагали передових методів експлуатації. Це були хрестоматійні помилки, про які йдеться в першому розділі будь-якого посібника з веб-безпеки. Серед виявлених недоліків були неавтентифіковані кінцеві точки API, які повертали повні записи користувачів, запити до бази даних без безпеки на рівні рядків, ключі API, жорстко закодовані безпосередньо в JavaScript на стороні клієнта, і повна відсутність обмеження швидкості на конфіденційних кінцевих точках.

Дослідники з питань безпеки, які досліджували програму, відзначили, що особисту інформацію — включно з адресами електронної пошти, іменами, номерами телефонів і в деяких випадках частковими деталями платежу — можна отримати просто шляхом повторення послідовних ідентифікаторів користувачів у викликах API. Логін не потрібен. Жетони не потрібні. Дані, по суті, були відкритими для всіх, хто перевіряв мережеві запити в інструментах розробника свого браузера.

Найнебезпечніші вразливості системи безпеки — це не ті, для використання яких потрібен геній — вони настільки елементарні, що будь-хто, хто має браузер, може натрапити на них. Якщо ви не читаєте код, який генерує ваш ШІ, ви не просто зрізуєте кути. Ви будуєте a

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• Show HN: Я створив базу знань маркетингу електронною поштою з 55 тисяч слів і навичок Клода Коду
• Привілей - це погана граматика
• Теренс Тао, 8 років (1984) [pdf]
• Японські вірші про смерть