Hacker News

Vibe 编码的 Lovable 托管应用程序充满基本缺陷，暴露了 18K 用户

由于基本的安全漏洞，Lovable 托管的 vivi 编码应用程序暴露了 18000 名用户。了解为什么人工智能生成的代码需要人工监督才能确保应用程序的安全。

March 3, 2026 4 最小阅读量

Mewayz Team

Editorial Team

Hacker News

我将根据我对这个主题的了解来写这篇文章——在 Lovable（人工智能应用程序构建器）上构建的“vibe 编码”应用程序被发现存在基本安全缺陷，导致大约 18,000 名用户的个人数据暴露。这是无代码/人工智能代码领域中一个有据可查的警示故事。

当“Vibe Coding”出错时：无代码应用程序如何让 18,000 名用户面临基本的安全缺陷

使用人工智能工具在几分钟内构建功能齐全的应用程序的承诺吸引了全世界的企业家、个体企业家和业余项目爱好者。但最近发生的涉及 Lovable 托管应用程序的事件给这种肆无忌惮的热情泼了一盆冷水。一款“vibe 编码”应用程序——几乎完全通过人工智能提示构建，人为监督最少——被发现包含基本安全漏洞，导致大约 18,000 名用户的个人数据暴露给任何知道在哪里查看的人。不需要复杂的黑客攻击。没有零日漏洞。只是任何初级开发人员在代码审查中都会发现的基本缺陷。这一事件引发了一场激烈的争论，争论的焦点是软件开发民主化和鲁莽地发布让真实的人面临危险的产品之间的界限到底在哪里。

什么是 Vibe 编码，为什么它会如此流行？

“Vibe 编码”这个术语用来描述几乎完全通过人工智能工具的自然语言提示来构建软件的实践——接受模型生成的任何内容，很少阅读底层代码，并通过描述你想要的东西而不是理解它是如何工作的来迭代。像 Lovable、Bolt 和 Replit Agent 这样的平台让任何有想法和信用卡的人都可以使用这种方法。结果在视觉上令人印象深刻：精美的 UI、工作身份验证流程和数据库连接功能 - 所有这些都在数小时而不是数周内生成。

其吸引力是显而易见的。据行业估计，2025 年推出的新 SaaS 微应用中，超过 70% 涉及某种形式的人工智能辅助代码生成。对于非技术创始人来说，vibe 编码消除了最令人生畏的进入障碍：实际编写代码。但这种方法存在一个根本缺陷。当构建者不理解运行其产品的代码时，他们也不了解其中嵌入的风险。正如 Lovable 事件所表明的那样，这些风险可能非常严重。

氛围编码背后的文化动力也创造了一种危险的叙述——理解代码现在是可选的，安全性是人工智能“处理”的事情，快速运输比安全运输更重要。这些假设正是导致 18,000 人数据被泄露的原因。

💡 您知道吗？

Mewayz在一个平台内替代8+种商业工具

CRM·发票·人力资源·项目·预订·电子商务·销售点·分析。永久免费套餐可用。

免费开始 →

漏洞剖析：到底出了什么问题

据报道，托管在 Lovable 平台上的暴露应用程序遭遇了一系列基本安全故障。这些并不是需要高级利用技术的奇异漏洞。这些都是教科书上的错误——任何网络安全指南第一章都会提到的错误。发现的缺陷包括未经身份验证的 API 端点（返回完整的用户记录）、未强制执行行级安全性的数据库查询、直接硬编码到客户端 JavaScript 中的 API 密钥，以及敏感端点完全没有速率限制。

检查该应用程序的安全研究人员指出，个人信息（包括电子邮件地址、姓名、电话号码，在某些情况下还包括部分付款详细信息）只需通过 API 调用中的连续用户 ID 进行迭代即可检索。无需登录。不需要令牌。这些数据基本上对任何在浏览器的开发人员工具中检查网络请求的人都是公开的。

最危险的安全漏洞并不是需要天才才能利用的漏洞，而是那些非常基本的漏洞，任何使用浏览器的人都可能会偶然发现它们。当你不阅读人工智能生成的代码时，你就不仅仅是在偷工减料。你正在构建一个

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

免费试用 Mewayz

集 CRM、发票、项目、人力资源等功能于一体的平台。无需信用卡。

免费开始 Try Demo

立即开始更智能地管理您的业务

加入 30,000+ 家企业使用 Mewayz 专业开具发票、更快收款并减少追款时间。无需信用卡。

免费开始 → 观看演示

觉得这有用吗？分享一下。

X / Twitter LinkedIn Facebook WhatsApp

准备好付诸实践了吗？

加入30,000+家使用Mewayz的企业。永久免费计划——无需信用卡。

开始免费试用 →

Hacker News

大尿布如何从美国父母那里吸收数十亿美元的额外资金

Mar 8, 2026

Hacker News

新苹果开始出现

Mar 8, 2026

Hacker News

Claude 努力应对 ChatGPT 的流失

Mar 8, 2026

Hacker News

AGI 的目标和时间表不断变化

Mar 8, 2026

Hacker News

我的家庭实验室设置

Mar 8, 2026

Hacker News

Show HN：Skir – 类似于 Protocol Buffer，但更好

Mar 8, 2026

准备好采取行动了吗？

立即开始您的免费Mewayz试用

一体化商业平台。无需信用卡。

免费开始 →

14 天免费试用 · 无需信用卡 · 随时取消

Vibe 编码的 Lovable 托管应用程序充满基本缺陷，暴露了 18K 用户

Frequently Asked Questions

What is "vibe coding" and why is it risky?

How did the Lovable-hosted app expose 18,000 users?

Can AI-built apps ever be secure enough for production use?

What should businesses learn from this incident?

免费试用 Mewayz

立即开始更智能地管理您的业务

准备好付诸实践了吗？

相关文章

立即开始您的免费Mewayz试用

Try Mewayz — Live

等等——别空手而归！

检查您的收件箱！

Vibe 编码的 Lovable 托管应用程序充满基本缺陷，暴露了 18K 用户

Frequently Asked Questions

What is "vibe coding" and why is it risky?

How did the Lovable-hosted app expose 18,000 users?

Can AI-built apps ever be secure enough for production use?

What should businesses learn from this incident?

Related Posts

免费试用 Mewayz

立即开始更智能地管理您的业务

准备好付诸实践了吗？

相关文章

立即开始您的免费Mewayz试用

更改语言

联系我们

等等——别空手而归！

检查您的收件箱！