Hacker News

L'applicazione Lovable-ospitata codificata in Vibe piena di difetti basi esposti 18K utilizatori

Cumenti

14 min read Via www.theregister.com

Mewayz Team

Editorial Team

Hacker News
Scriveraghju l'articulu basatu annantu à a mo cunniscenza di questu tema - l'incidentu induve una app "vibe coded" custruita nantu à Lovable (un app builder AI) hè stata trovata per avè difetti di sicurezza basi chì anu espostu à circa 18 000 dati persunali di l'utilizatori. Questa hè una storia di prudenza ben documentata in u spaziu senza codice / codice AI.

Quandu "Codificazione Vibe" va sbagliata: Cumu una App senza codice hà espostu 18 000 utilizatori à difetti di sicurezza di basa

A prumessa di custruisce una app cumpletamente funzionale in pochi minuti cù l'arnesi alimentati da l'IA hà captivatu l'imprenditori, i solipreneurs è i dilettanti di i prughjetti laterali in u mondu. Ma un incidente recente chì implica una applicazione ospitata da Lovable hà gettatu acqua fridda nantu à l'entusiasmu sfrenatu. Una app "codificata in vibrazione" - custruita quasi interamente per mezu di l'AI prompts cù una sorveglianza minima umana - hè stata scuperta per cuntene vulnerabili di sicurezza elementari chì lasciavanu i dati persunali di circa 18 000 utilizatori esposti à tutti quelli chì sapia induve circà. Nisun pirate sofisticatu era necessariu. Nisun sfruttamentu di ghjornu zero. Solu i difetti basi chì qualsiasi sviluppatore junior averia pigliatu in una revisione di codice. L'incidentu hà suscitatu un dibattitu feroce nantu à induve si trova a linea trà u sviluppu di u software dimucratizatu è a spedizione imprudente di prudutti chì mettenu e persone reali in risicu.

Chì hè a codificazione Vibe, è perchè hè esplosa in a popularità?

"Codificazione Vibe" hè un termu inventatu per descriverà a pratica di custruisce un software quasi interamente per mezu di richieste in lingua naturale à l'arnesi di IA - accettendu ciò chì u mudellu genera, raramente leghje u codice sottostante, è iterendu discrittendu ciò chì vulete piuttostu cà capisce cumu funziona. Piattaforme cum'è Lovable, Bolt è Replit Agent anu fattu stu approcciu accessibile à tutti quelli chì anu una idea è una carta di creditu. I risultati ponu esse visualmente impressiunanti: UI pulite, flussi di autentificazione di travagliu, è funzioni cunnessi à a basa di dati - tutti generati in ore invece di settimane.

L'appellu hè evidente. Sicondu stimi di l'industria, più di u 70% di e novi micro-app SaaS lanciate in 2025 implicavanu una certa forma di generazione di codice assistita da AI. Per i fundatori non tecnichi, a codificazione vibe elimina a barriera più intimidatoria per l'ingressu: in realtà scrive codice. Ma l'approcciu porta un difettu fundamentale. Quandu i custruttori ùn capiscenu micca u codice chì gestisce u so pruduttu, ùn capiscenu micca ancu i risichi incrustati in questu. È cum'è l'incidentu Lovable hà dimustratu, quelli risichi ponu esse severi.

L'impulsu culturale daretu à a codificazione di vibrazione hà ancu creatu una narrativa periculosa - chì a cunniscenza di u codice hè avà opzionale, chì a sicurità hè qualcosa chì l'AI "maneggia", è chì a spedizione veloce importa più cà a spedizione sicura. Queste supposizioni sò esattamente ciò chì hà purtatu à 18 000 persone chì anu espostu i so dati.

Anatomia di a violazione: ciò chì in realtà hè andatu sbagliatu

L'applicazione esposta, ospitata nantu à a piattaforma di Lovable, soffre di una custellazione di fallimenti elementari di sicurità. Ùn eranu micca vulnerabili esotiche chì necessitanu tecniche avanzate di sfruttamentu. Eranu errori di libri di testu - u tipu coperto in u primu capitulu di qualsiasi guida di sicurezza web. Trà i difetti identificati ci sò stati endpoint API micca autenticati chì restituiscenu registri completi di l'utilizatori, dumande di basa di dati senza sicurezza di fila infurzata, chjavi API codificate direttamente in JavaScript di u cliente, è una assenza completa di limitazione di freccia nantu à endpoint sensibili.

I ricercatori di sicurezza chì anu esaminatu l'applicazione anu nutatu chì l'infurmazioni persunali - cumpresi l'indirizzi email, i nomi, i numeri di telefunu, è in certi casi i dettagli di pagamentu parziali - puderanu esse ritruvati solu per iterazione per l'ID sequenziali d'utilizatori in chjamate API. Ùn hè micca necessariu login. Nisun token necessariu. I dati eranu essenzialmente publichi per tutti quelli chì inspeccionanu e richieste di rete in i strumenti di sviluppatore di u so navigatore.

E vulnerabilità di sicurezza più periculose ùn sò micca quelli chì necessitanu geniu per sfruttà - sò quelli chì sò cusì basi chì qualchissia cù un navigatore pò sbattà in elli. Quandu ùn leghjite micca u codice chì u vostru AI genera, ùn site micca solu tagliu. Stai custruendu una casa senza serratura è sperendu chì nimu prova a porta.

A Causa Root: Fiducia Senza Verificazione

In u core di questu incidente si trova un mudellu chì i prufessiunali di sicurità anu avvistatu da chì l'arnesi di generazione di codice AI anu guadagnatu per a prima volta. U sviluppatore - o più precisamente, l'ingegnere promptatu - hà fiducia in l'output di l'AI implicitamente. Quandu l'app pareva chì funzionava, era presunta chì era pronta per a produzzione. Ma "opere" è "secure" sò standard completamente diffirenti. Un endpoint API pò rinvià i dati curretti per l'utilizatori curretti è simultaneamente rinvià i stessi dati à ogni visitatore micca autorizatu in Internet.

I generatori di codice AI sò ottimizzati per a correttezza funziunale, micca per a resistenza avversaria. Producenu codice chì satisface u promptatu, micca codice chì anticipa cumu un attore maliziusu puderia abusà. Politiche di sicurezza à livellu di fila, sanitizazione di input, middleware d'autentificazione, cunfigurazione CORS è limitazione di a tarifa sò tutte preoccupazioni chì necessitanu una implementazione deliberata, cunzigna di a sicurità. Raramente emergenu naturalmente da prompti cum'è "custruitemi un dashboard d'utilizatore".

A piattaforma Lovable stessa furnisce Supabase cum'è u so backend, chì offre funzioni di sicurezza robuste - cumprese e pulitiche di sicurezza à livellu di fila (RLS). Ma queste funzioni devenu esse attivate esplicitamente è cunfigurate currettamente. In questu casu, u codice generatu da l'AI hà fallutu per attivà RLS o l'hà cunfiguratu incorrectamente, creendu una strata di dati largamente aperta daretu à un frontend pulitu. A lezziò hè dura: e capacità di sicurezza di a piattaforma sò irrilevanti se u codice generatu ùn li usa micca.

Perchè questu hè un prublema sistemicu, micca un incidente isolatu

Saria cunfortu di scaccià questu cum'è un fallimentu puntuale da un individuu imprudente. Ma l'evidenza suggerisce chì u prublema hè strutturale. Un studiu di Stanford in u 2025 hà truvatu chì i sviluppatori chì utilizanu assistenti AI pruducianu codice cù 40% di più vulnerabilità di sicurezza di quelli chì codificanu manualmente - è criticamente, si sentenu più cunfidenti di a sicurità di u so codice. Stu gap di cunfidenza hè u veru periculu. I codificatori di Vibe ùn sò micca solu spedizione di codice inseguru; credenu veramente chì anu custruitu qualcosa di solidu.

A proliferazione di l'applicazioni custruite da AI significa chì avà ci sò millaie di applicazioni di produzzione chì gestiscenu dati reali di l'utilizatori chì ùn anu mai statu sottumessu à una revisione di sicurezza, una prova di penetrazione, o ancu un auditu di codice manuale. Parechje di sti appliaggi sò custruiti da i fundatori soli chì ùn mancanu di u fondu tecnicu per evaluà ciò chì l'AI hà pruduttu. A superficia di l'attaccu ùn hè micca una sola app - hè una generazione intera di software custruitu nantu à l'assunzione chì l'output AI hè intrinsecamente affidabile.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Pensate à u flussu di travagliu tipicu di codificazione di vibrazione è induve a sicurità cade à traversu i crack:

  1. Sviluppu pront-driven: U custruttore descrive e funziunalità in lingua naturali, senza menzione di esigenze di sicurezza, mudelli di autentificazione o pulitiche di prutezzione di dati.
  2. Accettazione senza rivisione: U codice generatu hè pruvatu per a funziunalità ("funziona u buttone?") Ma mai verificatu per a sicurità ("quale altru pò accede à queste dati?").
  3. Implementazione rapida: L'app entra in diretta in pochi ore o ghjorni, senza ambienti di staging, senza teste di sicurezza, è senza monitoraghju per l'accessu micca autorizatu.
  4. Scala cù l'esposizione: Cum'è l'utilizatori si firmanu è furniscenu dati persunali, u raghju di l'esplosione di ogni vulnerabilità cresce - ma u custruttore ùn hà micca visibilità di e minacce potenziali.
  5. Scoperta da i stranieri: I difetti di sicurezza sò eventualmente truvati - micca da u custruttore, ma da circadori, cuncurrenti, o attori maliziusi.

Chì si vede veramente l'App Building Responsible

Nimu di questu significa chì u sviluppu assistitu da AI hè intrinsecamente periculosu, o chì i fundatori non tecnichi ùn ponu micca custruisce prudutti legittimi. Significa chì l'approcciu richiede guardrails, cuscenza, è - in parechji casi - una vuluntà di utilizà e plataforme stabilite piuttostu cà di custruisce da zero. I principii di sicurezza chì l'app esposta ùn hà micca implementatu ùn sò micca funzioni opzionali. Sò tavulini per ogni applicazione chì gestisce i dati di l'utilizatori.

Per i fundatori è l'operatori di picculi imprese chì anu bisognu di software per eseguisce e so operazioni - CRM, fattura, riservazioni, gestione di squadra - u percorsu più sicuru hè spessu micca di custruisce una app persunalizata. Piattaforme cum'è Mewayzesistenu precisamente per eliminà stu risicu. Cù 207 moduli pre-custruiti chì coprenu tuttu, da a paga è HR à a gestione di a flotta, l'analisi è i portali di i clienti, Mewayz furnisce a funziunalità chì i codificatori di vibrazione passanu settimane à pruvà à riplicà - eccettu cù a sicurezza di l'impresa, l'autentificazione curretta, a gestione di dati criptati è un squadra di ingegneria dedicata chì mantene l'infrastruttura. L'utilizatori 138,000 chì sò digià nantu à a piattaforma beneficianu di pratiche di sicurezza chì nisun fundatore solitariu chì induce una IA à mezzanotte pò realisticamente cuncorda.

U calculu hè simplice: se u vostru core business ùn hè micca u sviluppu di software, l'ore passate vibe codifica una app persunalizata seria megliu investita in veramente a gestione di a vostra attività - utilizendu strumenti chì sò stati custruiti, testati, verificati è mantinuti da i prufessiunali.

Lezioni per l'era di u sviluppu assistitu da l'IA

L'incidentu di Lovable ùn hè micca un mutivu per abbandunà cumplettamente u sviluppu assistitu da AI. A generazione di codice AI hè un strumentu putente chì accelera veramente a creazione di software. Ma un strumentu hè solu sicuru quant'è e mani chì l'anu. Una motosega hè inestimabile per un arborista furmatu è catastròficu per quellu chì ùn hà mai tenutu unu. U listessu principiu s'applica à u codice di spedizione chì ùn avete mai lettu à i servitori di produzzione chì trattanu dati d'utilizatori reali.

Per quelli chì sceglienu di custruisce applicazioni persunalizate cù l'assistenza AI, a lista di cuntrollu di sicurezza minima viable ùn hè micca negoziabile:

  • Attivà è verificate a sicurità à livellu di fila nantu à ogni tavula di basa di dati chì cuntene dati di l'utilizatori - dopu pruvate à pruvà à accede à i registri di l'altri utilizatori.
  • Mai espone e chjave API in u codice di u cliente. Aduprate variabili di l'ambiente di u servitore è rotte API per mantene i sicreti fora di u navigatore.
  • Implementa middleware d'autentificazione in ogni endpoint chì torna o modifica i dati di l'utilizatori. Pruvate cù richieste micca autenticate.
  • Aggiungi una limitazione di freccia per prevene l'attacchi di enumerazione è i tentativi di forza bruta nantu à i punti finali di login è di dati.
  • Eseguite un auditu di sicurezza basica prima di u lanciu - ancu i strumenti gratuiti cum'è OWASP ZAP ponu catturà e vulnerabilità più egregi.
  • Leghjite u codice generatu. Se ùn pudete micca capisce, ingaghjate qualcunu chì pò rivisione prima di mette in daretu i dati di l'utilizatori veri.

I 18 000 utilizatori chì e so dati sò stati esposti ùn anu micca registratu sapendu chì stavanu testando in beta l'esperimentu AI di qualcunu. Fiducianu l'app cù a so infurmazione perchè pareva prufessiunale è funzionava bè. Questa fiducia hè stata violata micca da un ciberattaccu sofisticatu, ma da negligenza vestita cum'è innovazione. Siccomu l'arnesi di sviluppu alimentati da AI cuntinueghjanu à abbassà a barriera à u software di custruzzione, l'industria - è i custruttori individuali - devenu assicurà chì a barriera à u trasportu di software sicuru ùn cade micca cun ellu.

U fondu: a velocità senza sicurezza hè solu imprudenza

L'attrazione di custruisce un pruduttu SaaS cumpletu in un weekend cù nunda, ma l'inviti AI hè innegabile. Ma l'incidentu di Lovable hà fattu una cosa chjaramente chjara: a vitezza à quale pudete custruisce una app hè senza significatu s'ellu ùn pò micca guarantisci a sicurità di e persone chì l'utilizanu. Per ogni storia di successu codificata in vibrazione sparta nantu à e social media, ci sò un numeru incalculable di applicazioni chì sò in produzzione avà cù e stesse vulnerabilità esatta - aspittendu solu per esse scuperte.

Sia chì sceglite di custruisce cù l'assistenza AI è investisce in rivisioni di sicurezza corrette, o optate per una piattaforma testata in battaglia cum'è Mewayz chì gestisce l'infrastruttura di sicurezza per pudè fucalizza nantu à a crescita di a vostra attività, l'imperativu hè u listessu: trattate i dati di i vostri utenti cù u rispettu chì merita. In u 2026, "Ùn sapia micca chì u codice era inseguru" ùn hè più una scusa. Hè una responsabilità.

Domande Frequenti

Chì hè "codificazione di vibrazione" è perchè hè risicatu?

A codificazione Vibe si riferisce à u software di custruzzione chì utilizanu strumenti AI descrivendu ciò chì vulete in lingua naturale, cù una revisione minima di codice manuale. U risicu hè chì u codice generatu da AI spessu manca di fundamenti di sicurità adattati cum'è l'autentificazione, a validazione di input è a criptografia di dati. Senza sviluppatori sperimentati chì riviseghjanu a pruduzzioni, vulnerabili critichi ponu sbulicà senza esse rilevati, espunendu potenzialmente migliaia d'utilizatori à violazioni di dati è violazioni di privacy.

Cumu l'app ospitata da Lovable hà espostu 18 000 utilizatori?

L'app cuntene difetti di sicurezza di basa, cumprese e chjave API esposte, autentificazione mancante nantu à i punti finali di a basa di dati è cuntrolli di accessu inadegwati. Quessi sò vulnerabili fundamentali chì qualsiasi sviluppatore espertu catturà durante a revisione di codice. Perchè l'app hè stata custruita principarmenti per mezu di l'intelligenza artificiale senza un auditu di sicurezza cumpletu, l'attaccanti puderanu accede direttamente à i dati di l'utilizatori - mettendu in risaltu perchè a generazione di codice automatizatu richiede sempre a vigilazione umana è a prova di sicurezza.

L'applicazioni AI custruite ponu esse mai abbastanza sicure per l'usu di pruduzzione?

Sì, ma solu cù e pratiche di sicurità adattate in cima. A generazione di codice AI hè un puntu di partenza, micca un pruduttu finitu. L'imprese necessitanu recensioni di codice, teste di penetrazione è infrastruttura sicura. Piattaforme cum'è Mewayz mitiganu questu fornendu un sistema operativu cummerciale pre-custruitu, verificatu da a sicurità cù 207 moduli chì partenu da $ 19 / mese - cusì uttene strumenti pronti per a produzzione senza scrive codice vulnerabile da zero.

Chì deve amparà l'imprese da stu incidente ?

U principale hè chì a velocità ùn deve mai vene à u costu di a sicurità. Prima di lancià qualsiasi app chì gestisce i dati di l'utilizatori, fate un auditu di sicurezza cumpletu, indipendentemente da cumu hè stata custruita. Cunsiderate l'usu di piattaforme stabilite cù record di sicurezza pruvati piuttostu cà di implementà un codice generatu da AI senza prova. A prutezzione di a fiducia di l'utilizatori hè assai più preziosa chè salvà uni pochi d'ore di tempu di sviluppu.