Aplikasi yang dihosting dengan kode getaran yang penuh dengan kelemahan dasar mengekspos 18 ribu pengguna

Saya akan menulis artikel berdasarkan pengetahuan saya tentang topik ini — insiden ketika aplikasi "kode getaran" yang dibuat di Lovable (pembuat aplikasi AI) ditemukan memiliki kelemahan keamanan dasar yang mengungkap sekitar 18.000 data pribadi pengguna. Ini adalah kisah peringatan yang terdokumentasi dengan baik dalam ruang tanpa kode/kode AI.

Ketika "Vibe Coding" Menjadi Salah: Bagaimana Aplikasi Tanpa Kode Mengekspos 18.000 Pengguna pada Kelemahan Keamanan Dasar

Janji untuk membangun aplikasi yang berfungsi penuh dalam hitungan menit menggunakan alat yang didukung AI telah memikat para wirausahawan, solopreneur, dan penggemar proyek sampingan di seluruh dunia. Namun insiden baru-baru ini yang melibatkan aplikasi yang dihosting oleh Lovable telah membuat antusiasme yang tak terkendali menjadi suram. Sebuah aplikasi "berkode getaran" - yang dibangun hampir seluruhnya melalui perintah AI dengan pengawasan manusia yang minimal - ditemukan mengandung kerentanan keamanan dasar yang membuat data pribadi sekitar 18.000 pengguna terekspos kepada siapa saja yang tahu di mana mencarinya. Tidak diperlukan peretasan canggih. Tidak ada eksploitasi zero-day. Hanya kelemahan mendasar yang akan ditangkap oleh pengembang junior mana pun dalam tinjauan kode. Insiden ini telah memicu perdebatan sengit mengenai batasan antara demokratisasi pengembangan perangkat lunak dan pengiriman produk secara sembarangan yang membahayakan manusia.

Apa Itu Vibe Coding, dan Mengapa Popularitasnya Meledak?

"Vibe coding" adalah istilah yang diciptakan untuk menggambarkan praktik pembuatan perangkat lunak yang hampir seluruhnya melalui petunjuk bahasa alami ke alat AI — menerima apa pun yang dihasilkan model, jarang membaca kode yang mendasarinya, dan melakukan iterasi dengan mendeskripsikan apa yang Anda inginkan, bukan memahami cara kerjanya. Platform seperti Lovable, Bolt, dan Replit Agent telah membuat pendekatan ini dapat diakses oleh siapa saja yang memiliki ide dan kartu kredit. Hasilnya bisa sangat mengesankan secara visual: UI yang disempurnakan, alur autentikasi yang berfungsi, dan fitur-fitur yang terhubung ke database — semuanya dihasilkan dalam hitungan jam, bukan minggu.

Daya tariknya jelas. Menurut perkiraan industri, lebih dari 70% aplikasi mikro SaaS baru yang diluncurkan pada tahun 2025 melibatkan beberapa bentuk pembuatan kode yang dibantu AI. Bagi para pendiri non-teknis, pengkodean getaran menghilangkan hambatan masuk yang paling menakutkan: benar-benar menulis kode. Namun pendekatan ini mempunyai kelemahan mendasar. Ketika pembuat tidak memahami kode yang menjalankan produknya, mereka juga tidak memahami risiko yang tertanam di dalamnya. Dan seperti yang ditunjukkan oleh insiden Lovable, risiko tersebut bisa sangat parah.

Momentum budaya di balik pengkodean getaran juga telah menciptakan narasi yang berbahaya - bahwa memahami kode kini bersifat opsional, bahwa keamanan adalah sesuatu yang "ditangani" oleh AI, dan bahwa pengiriman cepat lebih penting daripada pengiriman dengan aman. Asumsi inilah yang menyebabkan data 18.000 orang terekspos.

Anatomi Pelanggaran: Apa yang Sebenarnya Salah

Aplikasi yang terekspos, yang dihosting di platform Lovable, dilaporkan mengalami konstelasi kegagalan keamanan dasar. Ini bukanlah kerentanan eksotik yang memerlukan teknik eksploitasi tingkat lanjut. Itu adalah kesalahan buku teks — jenis yang dibahas di bab pertama panduan keamanan web mana pun. Di antara kelemahan yang teridentifikasi adalah titik akhir API yang tidak diautentikasi yang mengembalikan catatan pengguna secara lengkap, kueri basis data tanpa penerapan keamanan tingkat baris, kunci API yang dikodekan langsung ke JavaScript sisi klien, dan tidak adanya pembatasan laju pada titik akhir yang sensitif.

Peneliti keamanan yang memeriksa aplikasi tersebut mencatat bahwa informasi pribadi – termasuk alamat email, nama, nomor telepon, dan dalam beberapa kasus rincian pembayaran sebagian – dapat diambil hanya dengan mengulangi ID pengguna berurutan dalam panggilan API. Tidak perlu masuk. Tidak diperlukan token. Data tersebut pada dasarnya bersifat publik bagi siapa saja yang memeriksa permintaan jaringan di alat pengembang browser mereka.

Kerentanan keamanan yang paling berbahaya bukanlah kerentanan yang membutuhkan kejeniusan untuk mengeksploitasinya — melainkan kerentanan yang sangat mendasar sehingga siapa pun yang memiliki browser dapat menemukannya. Jika Anda tidak membaca kode yang dihasilkan AI Anda, Anda tidak hanya mengambil jalan pintas. Anda sedang membangun a

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• Selamat Tinggal, Rust untuk Web
• SwiftUI Agent Skill: Bangun View yang Lebih Baik dengan AI
• Alat Sandboxing Command-Line macOS yang Kurang Dikenal (2025)
• CXMT telah menawarkan chip DDR4 dengan harga sekitar setengah dari harga pasar yang berlaku