Əsas qüsurlarla dolu Vibe kodlu sevimli proqram 18K istifadəçini ifşa etdi

Məqaləni bu mövzu ilə bağlı biliklərimə əsaslanaraq yazacağam - Lovable (AI proqram qurucusu) üzərində qurulmuş "vibe kodlu" proqramın təxminən 18.000 istifadəçinin şəxsi məlumatlarını ifşa edən əsas təhlükəsizlik qüsurlarının aşkar edildiyi hadisə. Bu, kodsuz/AI kodu məkanında yaxşı sənədləşdirilmiş xəbərdarlıq hekayəsidir.

"Vibe Kodlaşdırma" Səhv Getdikdə: Kodsuz Tətbiq 18.000 İstifadəçini Əsas Təhlükəsizlik Qüsurlarına necə məruz qoydu

Süni intellektlə işləyən alətlərdən istifadə edərək bir neçə dəqiqə ərzində tam funksional proqram yaratmaq vədi bütün dünyada sahibkarları, solopreneurları və yan layihə həvəskarlarını valeh etdi. Lakin Lovable-a məxsus proqramla bağlı son insident hədsiz həvəsə soyuq su tökdü. Demək olar ki, tamamilə süni intellekt tələbləri vasitəsilə minimal insan nəzarəti ilə qurulan "vibe kodlu" proqramda təxminən 18.000 istifadəçinin şəxsi məlumatlarını hara baxacağını bilən hər kəsin məruz qalmasına səbəb olan elementar təhlükəsizlik zəiflikləri olduğu aşkar edildi. Mürəkkəb hacking tələb olunmurdu. Sıfır gün istismarı yoxdur. Hər hansı bir gənc tərtibatçının kodu nəzərdən keçirərkən tuta biləcəyi sadəcə əsas çatışmazlıqlar. Bu insident proqram təminatının inkişafının demokratikləşdirilməsi ilə real insanları riskə atan məhsulların ehtiyatsız göndərilməsi arasındakı xəttin hara düşdüyü ilə bağlı şiddətli müzakirələrə səbəb oldu.

Vibe kodlaşdırması nədir və niyə populyarlıq artıb?

"Vibe kodlaşdırma" süni intellekt alətlərinə demək olar ki, tamamilə təbii dildə təkliflər vasitəsilə proqram təminatının yaradılması təcrübəsini təsvir etmək üçün yaradılmış termindir - modelin yaratdığı hər şeyi qəbul etmək, əsas kodu nadir hallarda oxumaq və onun necə işlədiyini başa düşmək əvəzinə istədiyinizi təsvir etməklə təkrarlamaq. Lovable, Bolt və Replit Agent kimi platformalar bu yanaşmanı ideyası və kredit kartı olan hər kəs üçün əlçatan edib. Nəticələr vizual olaraq təsir edici ola bilər: cilalanmış UI, işləyən autentifikasiya axınları və verilənlər bazası ilə əlaqəli funksiyalar – hamısı həftələr əvəzinə saatlarla yaradılır.

Müraciət göz qabağındadır. Sənayenin hesablamalarına görə, 2025-ci ildə istifadəyə verilmiş yeni SaaS mikro proqramlarının 70%-dən çoxu süni intellektlə dəstəklənən kod generasiyasının bir formasını əhatə edib. Qeyri-texniki təsisçilər üçün vibe kodlaşdırması giriş üçün ən qorxulu maneəni aradan qaldırır: əslində kod yazmaq. Ancaq yanaşmanın əsas qüsuru var. İnşaatçılar məhsullarını işlədən kodu başa düşmədikdə, onun daxilində olan riskləri də başa düşmürlər. Və Lovable hadisəsinin göstərdiyi kimi, bu risklər ciddi ola bilər.

Vib-kodlaşdırmanın arxasında olan mədəni impuls həm də təhlükəli bir hekayə yaratdı - kodu anlamaq artıq isteğe bağlıdır, təhlükəsizlik AI-nin "idarə etdiyi" bir şeydir və sürətli göndərmə təhlükəsiz göndərmədən daha vacibdir. Bu fərziyyələr məhz 18 000 insanın məlumatlarının ifşa olunmasına səbəb olub.

Pozulmanın Anatomiyası: Əslində Səhv Olanlar

Lovable platformasında yerləşdirilən tətbiqin elementar təhlükəsizlik xətalarından əziyyət çəkdiyi bildirilir. Bunlar qabaqcıl istismar üsulları tələb edən ekzotik zəifliklər deyildi. Bunlar dərslik səhvləri idi - hər hansı bir veb təhlükəsizlik bələdçisinin birinci fəslində əhatə olunan növ. Müəyyən edilmiş çatışmazlıqlar arasında tam istifadəçi qeydlərini qaytaran təsdiqlənməmiş API son nöqtələri, heç bir sıra səviyyəli təhlükəsizlik tətbiq olunmayan verilənlər bazası sorğuları, birbaşa müştəri tərəfi JavaScript-də kodlaşdırılmış API açarları və həssas son nöqtələrdə sürət məhdudiyyətinin tam olmaması var idi.

Tətbiqi araşdıran təhlükəsizlik tədqiqatçıları qeyd etdilər ki, şəxsi məlumat, o cümlədən e-poçt ünvanları, adlar, telefon nömrələri və bəzi hallarda qismən ödəniş təfərrüatları sadəcə API zənglərində ardıcıl istifadəçi identifikatorları vasitəsilə təkrarlanmaqla əldə edilə bilər. Giriş tələb olunmur. Token lazım deyil. Data brauzerinin tərtibatçı alətlərində şəbəkə sorğularını yoxlayan hər kəs üçün mahiyyətcə açıq idi.

Ən təhlükəli təhlükəsizlik zəiflikləri istismar etmək üçün dahi tələb edənlər deyil – onlar o qədər sadədir ki, brauzeri olan hər kəs onlara rast gələ bilər. Süni intellektinizin yaratdığı kodu oxumadığınız zaman sadəcə küncləri kəsmirsiniz. Siz qıfılsız bir ev tikirsiniz və ümid edirik ki, heç kim qapını sınamayacaq.

Əsas Səbəb: Təsdiq etmədən Güvən

Bu hadisənin mərkəzində süni intellekt kodu yaratma vasitələri ilk dəfə maraq kəsb edəndən bəri təhlükəsizlik mütəxəssislərinin xəbərdarlıq etdiyi bir nümunə dayanır. Tərtibatçı - və ya daha doğrusu, operativ mühəndis - AI-nin çıxışına dolayı etibar etdi. Tətbiq işlədiyi kimi görünəndə onun istehsala hazır olduğu güman edilirdi. Ancaq "işlər" və "təhlükəsiz" tamamilə fərqli standartlardır. API son nöqtəsi düzgün istifadəçi üçün düzgün məlumatları qaytara bilər və eyni zamanda həmin məlumatları internetdəki hər bir icazəsiz ziyarətçiyə qaytara bilər.

AI kod generatorları rəqibə davamlılıq üçün deyil, funksional düzgünlük üçün optimallaşdırılıb. Zərərli bir aktyorun ondan necə sui-istifadə edə biləcəyini təxmin edən kodu deyil, sorğunu təmin edən kod istehsal edirlər. Sıra səviyyəli təhlükəsizlik siyasətləri, daxiletmənin sanitarlaşdırılması, autentifikasiya ara proqramı, CORS konfiqurasiyası və sürətin məhdudlaşdırılması qəsdən, təhlükəsizlikdən xəbərdar olan tətbiq tələb edən narahatlıqlardır. Onlar nadir hallarda "mənə istifadəçi tablosunu yaradın" kimi göstərişlərdən təbii olaraq ortaya çıxır.

Sevimli platformanın özü Supabase-ni arxa plan kimi təmin edir, bu da möhkəm təhlükəsizlik xüsusiyyətlərini, o cümlədən sıra səviyyəli təhlükəsizlik (RLS) siyasətlərini təklif edir. Lakin bu funksiyalar açıq şəkildə aktivləşdirilməli və düzgün konfiqurasiya edilməlidir. Bu halda süni intellekt tərəfindən yaradılan kod ya RLS-i işə sala bilmədi, ya da onu səhv konfiqurasiya edərək, cilalanmış cəbhənin arxasında geniş açıq məlumat qatı yaratdı. Dərs ciddidir: yaradılan kod onlardan istifadə etmirsə, platformanın təhlükəsizlik imkanları əhəmiyyətsizdir.

Niyə bu, ayrı bir hadisə deyil, sistemli problemdir

Bunu diqqətsiz bir şəxs tərəfindən birdəfəlik uğursuzluq kimi qəbul etmək təsəlliverici olardı. Ancaq sübutlar problemin struktur olduğunu göstərir. 2025-ci ildə Stanford tədqiqatı göstərdi ki, süni intellekt köməkçilərindən istifadə edən tərtibatçılar əl ilə kodlayanlara nisbətən 40% daha çox təhlükəsizlik zəifliyi ilə kod istehsal edir və tənqidi olaraq öz kodlarının təhlükəsizliyinə daha əmin olurlar. Bu etimad boşluğu əsl təhlükədir. Vibe kodlayıcıları yalnız etibarsız kodu göndərmir; onlar həqiqətən möhkəm bir şey qurduqlarına inanırlar.

Süni intellekt əsasında qurulmuş tətbiqlərin çoxalması o deməkdir ki, indi heç vaxt təhlükəsizlik yoxlamasından, nüfuzetmə testindən və hətta əl ilə kod auditindən keçməmiş real istifadəçi məlumatlarını idarə edən minlərlə istehsal proqramları mövcuddur. Bu proqramların bir çoxu süni intellektin yaratdığını qiymətləndirmək üçün texniki məlumatı olmayan solo təsisçilər tərəfindən hazırlanır. Hücum səthi tək bir proqram deyil – bu, AI çıxışının mahiyyət etibarilə etibarlı olması fərziyyəsi əsasında qurulmuş proqram təminatının bütün nəslidir.

Tipik vibe kodlaşdırma iş prosesini və təhlükəsizliyin çatlardan keçdiyi yerləri nəzərdən keçirin:

1. Tecili idarə olunan inkişaf: Qurucu təhlükəsizlik tələbləri, autentifikasiya nümunələri və ya məlumatların mühafizəsi siyasətlərini qeyd etmədən xüsusiyyətləri təbii dildə təsvir edir.
2. Nəzərdən keçmədən qəbul: Yaradılmış kod funksionallıq baxımından yoxlanılır ("düymə işləyir?"), lakin təhlükəsizlik baxımından heç vaxt yoxlanılmır ("bu dataya başqa kimlər daxil ola bilər?").
3. Sürətli yerləşdirmə: Tətbiq heç bir quruluş mühiti, təhlükəsizlik testi və icazəsiz giriş üçün monitorinq olmadan saatlar və ya günlər ərzində fəaliyyətə başlayır.
4. İstifadəçilərin miqyası: İstifadəçilər qeydiyyatdan keçib şəxsi məlumatları təqdim etdikcə, hər hansı bir zəifliyin partlayış radiusu artır, lakin qurucu potensial təhlükələri görmür.
5. Kənar şəxslər tərəfindən kəşf: Təhlükəsizlik qüsurları nəhayət inşaatçı tərəfindən deyil, tədqiqatçılar, rəqiblər və ya zərərli aktyorlar tərəfindən aşkar edilir.

Məsuliyyətli Tətbiq Quruluşu Əslində Necə Görünür

Bunun heç biri o demək deyil ki, süni intellektlə dəstəklənən inkişaf mahiyyət etibarilə təhlükəlidir və ya qeyri-texniki təsisçilər qanuni məhsullar yarada bilməz. Bu o deməkdir ki, yanaşma qoruyucu barmaqlıqlar, məlumatlılıq və bir çox hallarda sıfırdan qurmaq əvəzinə qurulmuş platformalardan istifadə etmək istəyi tələb edir. Açılan tətbiqin həyata keçirə bilmədiyi təhlükəsizlik əsasları isteğe bağlı xüsusiyyətlər deyil. Onlar istifadəçi məlumatlarını idarə edən hər hansı proqram üçün cədvəl paylarıdır.

Əməliyyatlarını həyata keçirmək üçün proqram təminatına ehtiyacı olan təsisçilər və kiçik biznes operatorları üçün - CRM, faktura, sifarişlər, komanda idarəçiliyi - ən təhlükəsiz yol, ümumiyyətlə, fərdi proqram yaratmamaqdır. Mewayz kimi platformalar məhz bu riski aradan qaldırmaq üçün mövcuddur. Əmək haqqı və HR-dən tutmuş donanmanın idarə edilməsinə, analitikaya və müştəri portallarına qədər hər şeyi əhatə edən 207 əvvəlcədən qurulmuş modul ilə Mewayz, korporativ səviyyəli təhlükəsizlik, düzgün autentifikasiya, şifrələnmiş məlumatların idarə edilməsi və infrastruktura qulluq edən xüsusi mühəndislik qrupu istisna olmaqla, vibe kodlayıcılarının həftələrlə təkrarlamağa çalışdıqları funksionallığı təmin edir. Artıq platformada olan 138 000 istifadəçi təhlükəsizlik təcrübələrindən faydalanır ki, gecə yarısı süni intellekt tətbiq edən heç bir solo təsisçi real olaraq uyğunlaşa bilməz.

Hesablama sadədir: əgər əsas biznesiniz proqram təminatının inkişafı deyilsə, xüsusi proqramın kodlaşdırılmasına sərf olunan saatlar, peşəkarlar tərəfindən qurulmuş, sınaqdan keçirilmiş, yoxlanılmış və saxlanılan alətlərdən istifadə edərək, biznesinizi idarə etməyə sərf etmək daha yaxşı olardı.

AI-Assisted Development Era üçün dərslər

Sevimli hadisə süni intellektlə dəstəklənən inkişafdan tamamilə imtina etmək üçün səbəb deyil. AI kodunun yaradılması proqram təminatının yaradılmasını həqiqətən sürətləndirən güclü vasitədir. Ancaq alət yalnız onu idarə edən əllər qədər təhlükəsizdir. Zəncirli mişar təlim keçmiş bir ağac yetişdiricisi üçün əvəzolunmazdır və heç vaxt əlində olmayan biri üçün fəlakətlidir. Eyni prinsip real istifadəçi məlumatlarını idarə edən istehsal serverlərinə heç vaxt oxumadığınız göndərmə koduna da aiddir.

AI yardımı ilə fərdi proqramlar qurmağı seçənlər üçün minimum etibarlı təhlükəsizlik yoxlama siyahısı müzakirə edilə bilməz:

• İstifadəçi məlumatlarını ehtiva edən hər bir verilənlər bazası cədvəlində sıra səviyyəli təhlükəsizliyi aktivləşdirin və yoxlayın — sonra digər istifadəçilərin qeydlərinə daxil olmağa cəhd edərək onu sınaqdan keçirin.
• Müştəri tərəfi kodunda API açarlarını heç vaxt ifşa etməyin. Sirləri brauzerdən kənarda saxlamaq üçün server tərəfi mühit dəyişənlərindən və API marşrutlarından istifadə edin.
İstifadəçi məlumatlarını qaytaran və ya dəyişdirən hər bir son nöqtədə
• identifikasiya ara proqramını tətbiq edin. Doğrulanmamış sorğularla sınaqdan keçirin.
• Sadalama hücumlarının və giriş və verilənlərin son nöqtələrində kobud güc cəhdlərinin qarşısını almaq üçün sürət məhdudiyyəti əlavə edin.
Başlamazdan əvvəl
• əsas təhlükəsizlik auditini həyata keçirin — hətta OWASP ZAP kimi pulsuz alətlər də ən ciddi zəiflikləri ələ keçirə bilər.
• Yaradılmış kodu oxuyun. Əgər onu başa düşə bilmirsinizsə, real istifadəçilərin məlumatlarını arxasına qoymazdan əvvəl onu nəzərdən keçirə biləcək birini işə götürün.

Məlumatları ifşa olunan 18 000 istifadəçi kiminsə süni intellekt təcrübəsini beta-sınağından keçirdiklərini bilərək qeydiyyatdan keçməyiblər. Onlar proqrama öz məlumatlarını etibar etdilər, çünki o, peşəkar görünürdü və düzgün işləyirdi. Bu inam mürəkkəb kiberhücumla deyil, yenilik donu geyindirilən səhlənkarlıqla pozulub. Süni intellektlə işləyən inkişaf alətləri proqram təminatının yaradılması qarşısındakı maneəni azaltmağa davam etdikcə, sənaye və fərdi inşaatçılar təhlükəsiz proqram təminatının göndərilməsi qarşısındakı maneənin onunla birlikdə azalmamasını təmin etməlidir.

Əsas nəticə: Təhlükəsizlik olmadan sürət sadəcə ehtiyatsızlıqdır

Bir həftə sonu süni intellektdən başqa heç nə istifadə etmədən tam SaaS məhsulu yaratmağın cazibəsi danılmazdır. Lakin Lovable hadisəsi bir şeyi ağrılı şəkildə aydınlaşdırdı:istifadə edən insanların təhlükəsizliyinə zəmanət verə bilmirsinizsə, proqram qura biləcəyiniz sürət mənasızdır. Sosial mediada paylaşılan hər bir vibe kodlu uğur hekayəsi üçün, hazırda istehsalda olan, eyni zəifliklərə malik, sadəcə aşkarlanmağı gözləyən, saysız-hesabsız proqramlar var.

İstər süni intellekt yardımı ilə qurmaq və lazımi təhlükəsizlik araşdırmalarına sərmayə qoymaq, istərsə də biznesinizi inkişaf etdirməyə diqqət yetirmək üçün təhlükəsizlik infrastrukturu ilə məşğul olan Mewayz kimi döyüşdə sınaqdan keçirilmiş platformanı seçməyinizdən asılı olmayaraq, vacib olan eynidir: istifadəçilərinizin məlumatlarına layiq olduğu hörmətlə yanaşın. 2026-cı ildə "Mən kodun təhlükəli olduğunu bilmirdim" artıq bəhanə deyil. Bu, məsuliyyətdir.

Tez-tez verilən suallar

"Vib-kodlaşdırma" nədir və niyə risklidir?

Vibe kodlaşdırması, minimum əl ilə kodun nəzərdən keçirilməsi ilə təbii dildə istədiyinizi təsvir etməklə AI alətlərindən istifadə edərək proqram təminatının yaradılmasına aiddir. Risk ondadır ki, AI tərəfindən yaradılan kodun tez-tez autentifikasiya, girişin yoxlanılması və məlumat şifrələməsi kimi lazımi təhlükəsizlik əsasları yoxdur. Təcrübəli tərtibatçılar çıxışı nəzərdən keçirməsələr, kritik zəifliklər aşkar olunmadan keçə bilər və potensial olaraq minlərlə istifadəçini məlumatların pozulmasına və məxfilik pozuntularına məruz qoya bilər.

Lovable-a məxsus tətbiq 18.000 istifadəçini necə ifşa etdi?

Tətbiqdə açıq API açarları, verilənlər bazası son nöqtələrində çatışmayan autentifikasiya və qeyri-adekvat giriş nəzarətləri daxil olmaqla əsas təhlükəsizlik qüsurları var idi. Bunlar hər hansı bir təcrübəli tərtibatçının kodu nəzərdən keçirərkən tutacağı əsas zəifliklərdir. Tətbiq hərtərəfli təhlükəsizlik auditi olmadan ilk növbədə süni intellekt göstərişləri vasitəsilə qurulduğundan, təcavüzkarlar istifadəçi məlumatlarına birbaşa daxil ola bilirdilər. Bu, avtomatlaşdırılmış kodun yaradılmasının niyə hələ də insan nəzarəti və təhlükəsizlik testini tələb etdiyini vurğulayır.

Aİ-də qurulmuş proqramlar istehsalatda istifadə üçün kifayət qədər təhlükəsiz ola bilərmi?

Bəli, ancaq yuxarıda düzgün təhlükəsizlik təcrübələri ilə. AI kodunun yaradılması bitmiş məhsul deyil, başlanğıc nöqtəsidir. Müəssisələrə kodun nəzərdən keçirilməsi, nüfuzetmə testi və təhlükəsiz infrastruktur lazımdır. Mewayz kimi platformalar ayda $19-dan başlayan 207 moduldan ibarət əvvəlcədən qurulmuş, təhlükəsizliyi yoxlanılmış biznes ƏS təmin etməklə bunu azaldır – beləliklə, siz sıfırdan həssas kod yazmadan istehsala hazır alətlər əldə edirsiniz.

Bu hadisədən bizneslər nə öyrənməlidir?

Əsas məsələ odur ki, sürət heç vaxt təhlükəsizlik bahasına gəlməməlidir. İstifadəçi məlumatlarını idarə edən hər hansı tətbiqi işə salmazdan əvvəl, necə qurulmasından asılı olmayaraq hərtərəfli təhlükəsizlik yoxlamaları aparın. Sınaq edilməmiş süni intellekt tərəfindən yaradılan kodu yerləşdirməkdənsə, sübut edilmiş təhlükəsizlik qeydləri ilə qurulmuş platformalardan istifadə etməyi düşünün. İstifadəçi etibarını qorumaq bir neçə saatlıq inkişaf vaxtına qənaət etməkdən daha dəyərlidir.