Aplikacioni i strehuar nga Lovable i koduar Vibe, i mbushur me të meta themelore ekspozoi 18 mijë përdorues

Do ta shkruaj artikullin bazuar në njohuritë e mia për këtë temë - incidenti ku një aplikacion "i koduar vibe" i ndërtuar në Lovable (një ndërtues aplikacioni i AI) u zbulua se kishte të meta themelore të sigurisë që ekspozuan të dhënat personale të rreth 18,000 përdoruesve. Ky është një përrallë paralajmëruese e mirë-dokumentuar në hapësirën pa kod/kod AI.

Kur "Coding Vibe" shkon keq: Si një aplikacion pa kod ekspozoi 18,000 përdorues ndaj të metave themelore të sigurisë

Premtimi për ndërtimin e një aplikacioni plotësisht funksional në pak minuta duke përdorur mjete të fuqizuara nga AI ka mahnitur sipërmarrësit, sipërmarrësit solopetë dhe entuziastët e projekteve anësore në mbarë botën. Por një incident i fundit që përfshin një aplikacion të organizuar nga Lovable ka hedhur ujë të ftohtë mbi entuziazmin e shfrenuar. Një aplikacion "i koduar me vibe" - i ndërtuar pothuajse tërësisht përmes kërkesave të AI me mbikëqyrje minimale njerëzore - u zbulua se përmban dobësi elementare të sigurisë që i lanë të dhënat personale të rreth 18,000 përdoruesve të ekspozuar ndaj kujtdo që dinte se ku të kërkonte. Nuk kërkohej asnjë hakerim i sofistikuar. Nuk ka shfrytëzime të ditës zero. Vetëm të metat themelore që çdo zhvillues i ri do të kishte kapur në një rishikim kodi. Incidenti ka ndezur një debat të ashpër rreth asaj se ku bie linja midis demokratizimit të zhvillimit të softuerit dhe dërgimit të pakujdesshëm të produkteve që vënë njerëzit e vërtetë në rrezik.

Çfarë është kodimi Vibe dhe pse ka shpërthyer në popullaritet?

"Kodimi Vibe" është një term i krijuar për të përshkruar praktikën e ndërtimit të softuerit pothuajse tërësisht përmes nxitjeve të gjuhës natyrore për mjetet e AI - duke pranuar çdo gjë që modeli gjeneron, duke lexuar rrallë kodin themelor dhe duke përsëritur duke përshkruar atë që dëshironi në vend që të kuptoni se si funksionon. Platformat si Lovable, Bolt dhe Replit Agent e kanë bërë këtë qasje të arritshme për këdo që ka një ide dhe një kartë krediti. Rezultatet mund të jenë vizualisht mbresëlënëse: ndërfaqe të lëmuara, flukse të vërtetimit të punës dhe veçori të lidhura me bazën e të dhënave - të gjitha gjenerohen në orë në vend të javëve.

Ankesa është e qartë. Sipas vlerësimeve të industrisë, mbi 70% e mikro-aplikacioneve të reja SaaS të lançuara në 2025 përfshinin një formë të gjenerimit të kodit të ndihmuar nga AI. Për themeluesit jo teknikë, kodimi vibe eliminon pengesën më frikësuese për hyrjen: në fakt shkrimin e kodit. Por qasja mbart një të metë thelbësore. Kur ndërtuesit nuk e kuptojnë kodin që drejton produktin e tyre, ata gjithashtu nuk i kuptojnë rreziqet e ngulitura brenda tij. Dhe siç tregoi incidenti Lovable, këto rreziqe mund të jenë të rënda.

Momenti kulturor pas kodimit të vibeve ka krijuar gjithashtu një rrëfim të rrezikshëm – se të kuptuarit e kodit tani është opsional, se siguria është diçka që AI "trajton" dhe se transporti i shpejtë ka më shumë rëndësi sesa transporti i sigurt. Këto supozime janë pikërisht ato që çuan në ekspozimin e të dhënave të 18,000 njerëzve.

Anatomia e shkeljes: Çfarë në të vërtetë shkoi keq

Aplikacioni i ekspozuar, i organizuar në platformën e Lovable, thuhet se vuante nga një grup dështimesh elementare të sigurisë. Këto nuk ishin dobësi ekzotike që kërkonin teknika të avancuara shfrytëzimi. Ishin gabime të teksteve shkollore – lloji i përshkruar në kapitullin e parë të çdo udhëzuesi sigurie në internet. Ndër të metat e identifikuara ishin pikat fundore të paautentikuara të API-së që kthenin të dhënat e plota të përdoruesve, pyetjet e bazës së të dhënave pa siguri në nivel rreshti, çelësat API të koduar direkt në JavaScript nga ana e klientit dhe një mungesë e plotë e kufizimit të shpejtësisë në pikat përfundimtare të ndjeshme.

Studiuesit e sigurisë që ekzaminuan aplikacionin vunë në dukje se informacioni personal – duke përfshirë adresat e emailit, emrat, numrat e telefonit dhe në disa raste detajet e pjesshme të pagesës – mund të merren thjesht duke përsëritur përmes ID-ve të njëpasnjëshme të përdoruesve në thirrjet API. Nuk kërkohet hyrje. Nuk nevojitet asnjë shenjë. Të dhënat ishin në thelb publike për këdo që inspektonte kërkesat e rrjetit në veglat e zhvilluesit të shfletuesit të tyre.

Dobësitë më të rrezikshme të sigurisë nuk janë ato që kërkojnë gjenialitet për t'u shfrytëzuar - ato janë ato aq themelore sa që çdokush me një shfletues mund të pengohet në to. Kur nuk lexoni kodin që gjeneron inteligjenca artificiale, nuk jeni thjesht duke i prerë. Ju jeni duke ndërtuar një

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• QGIS 4.0
• Mendoj se e kuptoj pse njerëzit e urrejnë AI
• Coccinelle: Mjeti i transformimit të kernelit Linux nga burimi në burim
• Zhvilluesi i Castlevania dhe Bloodstained Shutaro Ida vdes në moshën 52-vjeçare