Vibe шифрирана апликација со хостирана Lovable преполна со основни недостатоци изложи 18 илјади корисници

Ќе ја напишам статијата врз основа на моето познавање на оваа тема - инцидентот кога беше откриено дека апликацијата „виб кодирана“ изградена на Lovable (градител на апликации за вештачка интелигенција) има основни безбедносни пропусти што открија околу 18.000 лични податоци на корисници. Ова е добро документирана предупредувачка приказна во просторот без код/АИ-код.

Кога „Виб-кодирањето“ не е во ред: како апликација без код изложи 18.000 корисници на основни безбедносни пропусти

Ветувањето за изградба на целосно функционална апликација за неколку минути со помош на алатки напојувани со вештачка интелигенција ги воодушеви претприемачите, самопретприемачите и ентузијастите на споредни проекти ширум светот. Но, неодамнешниот инцидент со апликацијата „Lovable-hosted“ фрли студена вода врз нескротливиот ентузијазам. Откриено е дека апликацијата „кодирана со виба“ - речиси целосно изградена преку интелигентни интелигентни барања со минимален човечки надзор - содржи елементарни безбедносни пропусти што ги оставија личните податоци на околу 18.000 корисници изложени на секој што знае каде да погледне. Не беше потребно софистицирано хакирање. Нема нулти-ден експлоатира. Само основни недостатоци што секој помлад програмер би ги фатил во прегледот на кодот. Инцидентот поттикна жестока дебата за тоа каде паѓа линијата помеѓу демократизирање на развој на софтвер и непромислено испраќање производи што ги ставаат во опасност вистинските луѓе.

Што е Vibe кодирање и зошто експлодира во популарност?

„Виб-кодирање“ е термин измислен за да се опише практиката на градење софтвер речиси целосно преку поттикнувања на природен јазик до алатките за вештачка интелигенција - прифаќање што и да генерира моделот, ретко читање на основниот код и повторување со опишување на она што го сакате наместо разбирање како функционира. Платформите како Lovable, Bolt и Replit Agent го направија овој пристап достапен за секој со идеја и кредитна картичка. Резултатите можат да бидат визуелно импресивни: полирани интерфејси, работни текови на автентикација и функции поврзани со базата на податоци - сите генерирани во часови наместо со недели.

Жалбата е очигледна. Според проценките на индустријата, над 70% од новите SaaS микро-апликации лансирани во 2025 година вклучувале некаква форма на генерирање кодови со помош на вештачка интелигенција. За основачите кои не се технички, виб кодирањето ја елиминира најзастрашувачката бариера за влез: всушност пишувањето код. Но, пристапот носи фундаментална маана. Кога градителите не го разбираат кодот што го извршува нивниот производ, тие исто така не ги разбираат ризиците вградени во него. И како што покажа инцидентот Lovable, тие ризици можат да бидат сериозни.

Културниот моментум зад кодирањето на вибрациите исто така создаде опасен наратив - дека разбирањето на кодот сега е опционално, дека безбедноста е нешто што „се справува со вештачката интелигенција“ и дека брзата испорака е повеќе важна од безбедното испраќање. Овие претпоставки се токму она што доведе до тоа 18.000 луѓе да ги изложат своите податоци.

Анатомија на прекршувањето: што всушност тргна наопаку

Откриената апликација, хостирана на платформата на Lovable, наводно страдала од група елементарни безбедносни неуспеси. Ова не беа егзотични пропусти кои бараат напредни техники на експлоатација. Тоа беа грешки во учебникот - од типот што е опфатен во првото поглавје од кој било водич за безбедност на веб. Меѓу идентификуваните недостатоци беа неавтентицирани крајни точки на API кои враќаа целосни кориснички записи, барања за базата на податоци без наметната безбедност на ниво на ред, клучеви на API директно кодирани во JavaScript од страна на клиентот и целосно отсуство на ограничување на стапката на чувствителните крајни точки.

Безбедносните истражувачи кои ја испитуваа апликацијата забележаа дека личните информации - вклучувајќи адреси на е-пошта, имиња, телефонски броеви и во некои случаи делумни детали за плаќање - може да се вратат едноставно со повторување преку секвенцијални кориснички идентификатори во повиците на API. Не е потребно најавување. Не е потребен токен. Податоците во суштина беа јавни за секој што ги прегледа мрежните барања во алатките за развивачи на нивниот прелистувач.

Најопасните безбедносни пропусти не се оние за кои е потребен генијалец за да се искористат - тие се толку основни што секој со прелистувач може да се сопне во нив. Кога не ја читате шифрата што ја генерира вашата вештачка интелигенција, не само што ги намалувате аглите. Градите куќа без брави и се надевате дека никој не ја проба вратата.

Основната причина: Доверба без потврда

Сржта на овој инцидент се крие шема за која предупредуваат безбедносните професионалци откако алатките за генерирање кодови со вештачка интелигенција за првпат добија привлечност. Инвеститорот - или поточно, брзиот инженер - имплицитно му веруваше на излезот на вештачката интелигенција. Кога апликацијата изгледаше како да работи, се претпоставуваше дека е подготвена за производство. Но, „работата“ и „безбедната“ се сосема различни стандарди. Крајната точка на API може да ги врати точните податоци за точниот корисник и истовремено да ги врати истите податоци на секој неовластен посетител на интернет.

Генераторите на ВИ кодови се оптимизирани за функционална исправност, а не за отпорност на противници. Тие произведуваат код кој го задоволува барањето, а не код кој предвидува како злонамерен актер може да го злоупотреби. Безбедносните политики на ниво на ред, дезинфекција на влезот, среден софтвер за автентикација, конфигурација на CORS и ограничување на стапката се сите грижи кои бараат намерна имплементација свесна за безбедноста. Тие ретко се појавуваат природно од потсетници како „изгради ми контролна табла за корисникот“.

Самата платформа Lovable го обезбедува Supabase како своја заднина, која нуди робусни безбедносни карактеристики - вклучувајќи ги и политиките за безбедност на ниво на ред (RLS). Но, овие карактеристики мора да бидат експлицитно овозможени и правилно конфигурирани. Кодот генериран со вештачка интелигенција во овој случај или не успеа да овозможи RLS или го конфигурираше погрешно, создавајќи широко отворен слој на податоци зад полиран преден дел. Лекцијата е остра: безбедносните можности на платформата се ирелевантни ако генерираниот код не ги користи.

Зошто ова е системски проблем, а не изолиран инцидент

Би било утешно да се отфрли ова како еднократен неуспех од невнимателен поединец. Но, доказите сугерираат дека проблемот е структурен. Студијата на Стенфорд од 2025 година покажа дека програмерите кои користат асистенти со вештачка интелигенција произведоа код со 40% повеќе безбедносни пропусти од оние што кодираат рачно - и критички, се чувствуваа посигурни во безбедноста на нивниот код. Овој јаз во довербата е вистинската опасност. Кодерите на Vibe не испраќаат само небезбеден код; тие искрено веруваат дека изградиле нешто солидно.

Распространетоста на апликациите направени со вештачка интелигенција значи дека сега има илјадници производствени апликации кои ракуваат со вистински кориснички податоци кои никогаш не биле подложени на безбедносен преглед, тест за пенетрација или дури и рачна ревизија на кодот. Многу од овие апликации се изградени од соло основачи на кои им недостига техничка позадина да го проценат она што го произведе вештачката интелигенција. Површината на нападот не е една апликација - тоа е цела генерација на софтвер изграден врз претпоставката дека излезот на вештачката интелигенција е инхерентно доверлив.

Размислете за типичниот работен тек на кодирање на вибрации и каде безбедноста паѓа низ пукнатините:

1. Развој базиран на брза помош: Градителот ги опишува функциите на природен јазик, без да споменува безбедносни барања, обрасци за автентикација или политики за заштита на податоци.
2. Прифаќање без преглед: Генерираниот код се тестира за функционалност („дали копчето работи?“), но никогаш не се ревидира за безбедност („кој друг може да пристапи до овие податоци?“).
3. Брзо распоредување: Апликацијата се активира за неколку часа или денови, без опкружување за поставување, без безбедносно тестирање и без следење за неовластен пристап.
4. Скалирање со изложеност: Како што корисниците се регистрираат и обезбедуваат лични податоци, радиусот на експлозијата на секоја ранливост расте - но градителот нема видливост на потенцијалните закани.
5. Откритие од надворешни лица: Безбедносните пропусти на крајот се наоѓаат - не од страна на градителот, туку од истражувачи, конкуренти или злонамерни актери.

Како всушност изгледа одговорната зграда на апликации

Ништо од ова не значи дека развојот со помош на вештачка интелигенција е инхерентно опасен или дека не-техничките основачи не можат да градат легитимни производи. Тоа значи дека пристапот бара заштитни огради, свесност и - во многу случаи - подготвеност да се користат воспоставени платформи наместо да се гради од нула. Основите за безбедност што не успеа да ги имплементира изложената апликација не се изборни функции. Тие се табели за секоја апликација што се справува со кориснички податоци.

За основачите и операторите на малите бизниси на кои им е потребен софтвер за извршување на нивните операции - CRM, фактурирање, резервации, управување со тим - најбезбедниот пат честопати е воопшто да не се изгради сопствена апликација. Платформите како Mewayz постојат токму за да се елиминира овој ризик. Со 207 претходно изградени модули кои покриваат сè, од платен список и човечки ресурси до управување со флота, аналитика и портали за клиенти, Mewayz обезбедува функционалност што кодерите на vibe поминуваат неколку недели обидувајќи се да ја реплицираат - освен со безбедност од ниво на претпријатие, соодветна автентикација, шифрирана обработка на податоци и посветен инженерски тим кој ја одржува инфраструктурата. 138.000 корисници кои веќе се на платформата имаат корист од безбедносните практики што реално не може да ги совпадне ниту еден соло основач кој ќе поттикне вештачка интелигенција на полноќ.

Пресметката е јасна: ако вашата основна дејност не е развој на софтвер, часовите потрошени со вибрации за кодирање на приспособена апликација ќе бидат подобро инвестирани во всушност водење на вашиот бизнис - користејќи алатки што биле изградени, тестирани, ревидирани и одржувани од професионалци.

Лекции за ерата на развој со помош на вештачка интелигенција

Инцидентот Lovable не е причина целосно да се откаже од развојот со помош на вештачка интелигенција. Генерирањето код за вештачка интелигенција е моќна алатка која вистински го забрзува создавањето софтвер. Но, алатката е безбедна само како рацете што ја користат. Моторната пила е непроценлива за обучен арборист и катастрофална за некој што никогаш не ја држел. Истиот принцип се однесува на кодот за испорака што никогаш не сте го прочитале на производствените сервери кои ракуваат со вистински кориснички податоци.

За оние кои избираат да градат сопствени апликации со помош на вештачка интелигенција, не може да се преговара за минималната безбедносна листа за проверка:

• Овозможете и потврдете ја безбедноста на ниво на ред на секоја табела со база на податоци што содржи кориснички податоци - потоа тестирајте ја со обид да пристапите до записите на другите корисници.
• Никогаш не изложувајте ги клучевите на API во кодот од клиентот. Користете променливи на околината од страна на серверот и маршрути на API за да ги задржите тајните од прелистувачот.
• Имплементирајте среден софтвер за автентикација на секоја крајна точка што враќа или менува кориснички податоци. Тестирајте со неавтентификувани барања.
• Додајте ограничување на стапката за да спречите напади на набројување и обиди со брутална сила за најава и крајни точки на податоци.
• Извршете основна безбедносна ревизија пред лансирањето - дури и бесплатните алатки како OWASP ZAP можат да ги фатат најеклатантните пропусти.
• Прочитајте го генерираниот код. Ако не можете да го разберете, ангажирајте некој што може да го прегледа пред да ги ставите зад него вистинските податоци на корисници.

18.000 корисници чии податоци беа изложени не се пријавија знаејќи дека тестираат бета-тестирање нечиј експеримент со вештачка интелигенција. Тие и веруваа на апликацијата со нивните информации бидејќи изгледаше професионално и функционираше правилно. Таа доверба не беше нарушена со софистициран сајбер напад, туку со невнимание дотерано како иновација. Со оглед на тоа што развојните алатки засновани на вештачка интелигенција продолжуваат да ја намалуваат бариерата за градење софтвер, индустријата - и индивидуалните производители - мора да се погрижат бариерата за испорака на безбеден софтвер да не се намали заедно со тоа.

Крајна линија: брзината без безбедност е само непромисленост

Привлечноста да се изгради комплетен SaaS производ во текот на еден викенд, користејќи ништо друго освен инструкции за вештачка интелигенција е непобитна. Но, инцидентот Lovable направи една работа болно јасно: брзината со која можете да изградите апликација е бесмислена ако не можете да ја гарантирате безбедноста на луѓето што ја користат. За секоја успешна приказна кодирана со вибрации споделена на социјалните мрежи, има нераскажан број апликации кои се во производство во моментов со истите пропусти - само чекаат да бидат откриени.

Без разлика дали ќе изберете да градите со помош на вештачка интелигенција и ќе инвестирате во соодветни безбедносни прегледи или ќе се одлучите за платформа тестирана во битка како Mewayz која се справува со безбедносната инфраструктура за да можете да се фокусирате на развојот на вашиот бизнис, императивот е ист: третирајте ги податоците на вашите корисници со почит што го заслужуваат. Во 2026 година, „не знаев дека кодот е несигурен“ повеќе не е изговор. Тоа е обврска.

Често поставувани прашања

Што е „виб кодирање“ и зошто е ризично?

Кодирањето Vibe се однесува на градење софтвер со помош на алатки за вештачка интелигенција со опишување на она што го сакате на природен јазик, со минимален рачен преглед на кодот. Ризикот е дека кодот генериран со вештачка интелигенција често нема соодветни безбедносни основи како автентикација, валидација на влезните податоци и шифрирање на податоците. Без искусни програмери да го прегледаат излезот, критичните пропусти може да се провлечат низ неоткриени, потенцијално изложувајќи илјадници корисници на прекршување на податоците и прекршување на приватноста.

Како апликацијата Lovable-hosted изложи 18.000 корисници?

Апликацијата содржеше основни безбедносни пропусти, вклучувајќи изложени клучеви на API, недостасува автентикација на крајните точки на базата на податоци и несоодветни контроли за пристап. Ова се фундаментални пропусти што секој искусен програмер би ги фатил за време на прегледот на кодот. Бидејќи апликацијата беше изградена првенствено преку инструкции за вештачка интелигенција без темелна безбедносна ревизија, напаѓачите можеа директно да пристапат до податоците на корисниците - нагласувајќи зошто автоматското генерирање код сè уште бара човечки надзор и безбедносно тестирање.

Дали апликациите создадени со вештачка интелигенција некогаш можат да бидат доволно безбедни за употреба во производство?

Да, но само со соодветни безбедносни практики поставени на врвот. Генерирањето код за вештачка интелигенција е почетна точка, а не готов производ. На бизнисите им треба преглед на кодот, тестирање на пенетрација и безбедна инфраструктура. Платформите како Mewayz го ублажуваат ова со обезбедување на однапред изграден деловен оперативен систем, кој е ревидиран од безбедноста, со 207 модули кои почнуваат од 19 $/месечно - така што добивате алатки подготвени за производство без да пишувате ранлив код од нула.

Што треба да научат бизнисите од овој инцидент?

Клучното решение е дека брзината никогаш не треба да биде по цена на безбедноста. Пред да стартувате која било апликација која ракува со кориснички податоци, спроведете темелни безбедносни контроли без оглед на тоа како е изградена. Размислете за користење на воспоставени платформи со докажани безбедносни записи, наместо да употребувате непроверен код генериран со вештачка интелигенција. Заштитата на довербата на корисниците е многу повредна од заштедата на неколку часа време за развој.