Vibe được mã hóa Ứng dụng được lưu trữ trên máy chủ đáng yêu có nhiều lỗi cơ bản khiến 18 nghìn người dùng bị lộ

Tôi sẽ viết bài dựa trên kiến ​​thức của tôi về chủ đề này - sự cố trong đó một ứng dụng "vibe code" được xây dựng trên Lovable (một trình tạo ứng dụng AI) bị phát hiện có các lỗi bảo mật cơ bản làm lộ dữ liệu cá nhân của khoảng 18.000 người dùng. Đây là một câu chuyện cảnh báo được ghi chép đầy đủ về không gian không có mã/mã AI.

Khi "Vibe Coding" gặp trục trặc: Làm thế nào một ứng dụng không có mã khiến 18.000 người dùng gặp phải các lỗ hổng bảo mật cơ bản

Lời hứa xây dựng một ứng dụng đầy đủ chức năng trong vài phút bằng cách sử dụng các công cụ hỗ trợ AI đã thu hút các doanh nhân, nhà kinh doanh solo và những người đam mê dự án phụ trên toàn thế giới. Nhưng một sự cố gần đây liên quan đến một ứng dụng được lưu trữ trên máy chủ Lovable đã dội một gáo nước lạnh vào sự nhiệt tình không kiềm chế được. Một ứng dụng "mã hóa rung cảm" - được xây dựng gần như hoàn toàn thông qua lời nhắc của AI với sự giám sát tối thiểu của con người - đã được phát hiện có chứa các lỗ hổng bảo mật cơ bản khiến dữ liệu cá nhân của khoảng 18.000 người dùng bị lộ cho bất kỳ ai biết nơi để tìm. Không cần hack phức tạp. Không khai thác zero-day. Chỉ là những sai sót cơ bản mà bất kỳ nhà phát triển cấp dưới nào cũng có thể mắc phải khi đánh giá mã. Vụ việc đã làm dấy lên một cuộc tranh luận gay gắt về ranh giới giữa việc dân chủ hóa phát triển phần mềm và việc vận chuyển một cách liều lĩnh các sản phẩm khiến người thực gặp rủi ro.

Mã hóa Vibe là gì và tại sao nó lại bùng nổ phổ biến?

"Mã hóa Vibe" là một thuật ngữ được đặt ra để mô tả hoạt động xây dựng phần mềm gần như hoàn toàn thông qua lời nhắc bằng ngôn ngữ tự nhiên đối với các công cụ AI - chấp nhận bất kỳ thứ gì mô hình tạo ra, hiếm khi đọc mã cơ bản và lặp lại bằng cách mô tả những gì bạn muốn thay vì hiểu cách nó hoạt động. Các nền tảng như Lovable, Bolt và Replit Agent đã giúp bất kỳ ai có ý tưởng và thẻ tín dụng đều có thể tiếp cận phương pháp này. Kết quả có thể rất ấn tượng về mặt hình ảnh: giao diện người dùng được trau chuốt, quy trình xác thực đang hoạt động và các tính năng kết nối với cơ sở dữ liệu — tất cả được tạo ra trong vài giờ thay vì hàng tuần.

Sự hấp dẫn là rõ ràng. Theo ước tính của ngành, hơn 70% ứng dụng vi mô SaaS mới ra mắt vào năm 2025 có liên quan đến một số hình thức tạo mã được hỗ trợ bởi AI. Đối với những người sáng lập không rành về kỹ thuật, mã hóa theo cảm xúc sẽ loại bỏ rào cản gia nhập đáng sợ nhất: thực sự là viết mã. Nhưng cách tiếp cận này có một lỗ hổng cơ bản. Khi người xây dựng không hiểu mã chạy sản phẩm của mình, họ cũng không hiểu những rủi ro tiềm ẩn trong đó. Và như vụ việc Lovable đã chứng minh, những rủi ro đó có thể rất nghiêm trọng.

Động lực văn hóa đằng sau mã hóa rung cảm cũng đã tạo ra một câu chuyện nguy hiểm - rằng việc hiểu mã hiện là tùy chọn, rằng bảo mật là thứ mà AI "xử lý" và việc vận chuyển nhanh quan trọng hơn là vận chuyển an toàn. Những giả định này chính xác là nguyên nhân khiến 18.000 người bị lộ dữ liệu.

Giải phẫu vi phạm: Điều gì thực sự đã sai

Ứng dụng bị lộ, được lưu trữ trên nền tảng của Lovable, được cho là đã gặp phải một loạt lỗi bảo mật cơ bản. Đây không phải là những lỗ hổng kỳ lạ đòi hỏi kỹ thuật khai thác tiên tiến. Đó là những lỗi trong sách giáo khoa - loại lỗi được đề cập trong chương đầu tiên của bất kỳ hướng dẫn bảo mật web nào. Trong số các lỗ hổng được xác định có các điểm cuối API không được xác thực trả về đầy đủ hồ sơ người dùng, các truy vấn cơ sở dữ liệu không được thực thi bảo mật cấp hàng, các khóa API được mã hóa cứng trực tiếp vào JavaScript phía máy khách và hoàn toàn không có giới hạn tốc độ đối với các điểm cuối nhạy cảm.

Các nhà nghiên cứu bảo mật đã kiểm tra ứng dụng đã lưu ý rằng thông tin cá nhân — bao gồm địa chỉ email, tên, số điện thoại và trong một số trường hợp là chi tiết thanh toán một phần — có thể được truy xuất chỉ bằng cách lặp qua ID người dùng tuần tự trong lệnh gọi API. Không cần đăng nhập. Không cần mã thông báo. Dữ liệu về cơ bản được công khai cho bất kỳ ai kiểm tra các yêu cầu mạng trong công cụ dành cho nhà phát triển trình duyệt của họ.

Các lỗ hổng bảo mật nguy hiểm nhất không phải là những lỗ hổng đòi hỏi phải có thiên tài mới khai thác được - chúng là những lỗ hổng cơ bản đến mức bất kỳ ai có trình duyệt đều có thể gặp phải. Khi bạn không đọc mã mà AI tạo ra, bạn không chỉ đang đi tắt đón đầu. Bạn đang xây dựng một

Frequently Asked Questions

What is "vibe coding" and why is it risky?

Vibe coding refers to building software using AI tools by describing what you want in natural language, with minimal manual code review. The risk is that AI-generated code often lacks proper security fundamentals like authentication, input validation, and data encryption. Without experienced developers reviewing the output, critical vulnerabilities can slip through undetected, potentially exposing thousands of users to data breaches and privacy violations.

How did the Lovable-hosted app expose 18,000 users?

The app contained basic security flaws including exposed API keys, missing authentication on database endpoints, and inadequate access controls. These are fundamental vulnerabilities that any experienced developer would catch during code review. Because the app was built primarily through AI prompts without thorough security auditing, attackers could access user data directly — highlighting why automated code generation still requires human oversight and security testing.

Can AI-built apps ever be secure enough for production use?

Yes, but only with proper security practices layered on top. AI code generation is a starting point, not a finished product. Businesses need code reviews, penetration testing, and secure infrastructure. Platforms like Mewayz mitigate this by providing a pre-built, security-audited business OS with 207 modules starting at $19/mo — so you get production-ready tools without writing vulnerable code from scratch.

What should businesses learn from this incident?

The key takeaway is that speed should never come at the cost of security. Before launching any app handling user data, conduct thorough security audits regardless of how it was built. Consider using established platforms with proven security track records rather than deploying untested AI-generated code. Protecting user trust is far more valuable than saving a few hours of development time.

Related Posts

• Công cụ hộp cát dòng lệnh ít được biết đến của macOS (2025)
• Hành Trình Mật Mã của DJB: Từ Anh Hùng Code Đến Kẻ Phá Rối Tiêu Chuẩn
• Đại học Texas giới hạn việc giảng dạy các "chủ đề gây tranh cãi không cần thiết"
• Trò chơi trẻ em: Thế hệ công nghệ mới và sự kết thúc của tư duy