Кодирано от Vibe приложение, хоствано от Lovable, осеяно с основни недостатъци, разкри 18 000 потребители

Ще напиша статията въз основа на познанията си по тази тема — инцидентът, при който бе установено, че приложение с „vibe код“, създадено на Lovable (конструктор на приложения с изкуствен интелект), има основни пропуски в сигурността, които разкриха личните данни на приблизително 18 000 потребители. Това е добре документирана предупредителна история в пространството без код/AI-код.

Когато „Vibe кодирането“ се обърка: Как приложение без код изложи 18 000 потребители на основни пропуски в сигурността

Обещанието за изграждане на напълно функционално приложение за минути с помощта на инструменти, базирани на изкуствен интелект, завладява предприемачи, самостоятелни предприемачи и ентусиасти на странични проекти по целия свят. Но скорошен инцидент с хоствано от Lovable приложение хвърли студена вода върху необуздания ентусиазъм. Приложение с „vibe код“ – създадено почти изцяло чрез подкани на AI с минимален човешки контрол – беше открито, че съдържа елементарни уязвимости в сигурността, които оставят личните данни на приблизително 18 000 потребители изложени на всеки, който знае къде да търси. Не беше необходимо сложно хакване. Без експлойти от нулевия ден. Само основни недостатъци, които всеки млад разработчик би уловил при преглед на кода. Инцидентът разпали ожесточен дебат за това къде минава границата между демократизирането на разработката на софтуер и безразсъдното изпращане на продукти, които излагат на риск реални хора.

Какво е Vibe кодиране и защо експлодира популярността му?

„Vibe кодиране“ е термин, измислен, за да опише практиката за изграждане на софтуер почти изцяло чрез подкани на естествен език към инструментите за изкуствен интелект – приемане на всичко, което моделът генерира, рядко четене на основния код и повторение, като описвате това, което искате, вместо да разберете как работи. Платформи като Lovable, Bolt и Replit Agent направиха този подход достъпен за всеки с идея и кредитна карта. Резултатите могат да бъдат визуално впечатляващи: излъскани потребителски интерфейси, работещи потоци за удостоверяване и свързани с база данни функции — всички генерирани за часове вместо за седмици.

Привлекателността е очевидна. Според оценки на индустрията, над 70% от новите SaaS микроприложения, стартирани през 2025 г., включват някаква форма на генериране на код, подпомаган от AI. За нетехническите основатели vibe кодирането елиминира най-плашещата бариера за навлизане: всъщност писането на код. Но подходът носи основен недостатък. Когато строителите не разбират кода, управляващ техния продукт, те също не разбират рисковете, вградени в него. И както показа инцидентът с Lovable, тези рискове могат да бъдат сериозни.

Културният импулс зад vibe кодирането също създаде опасен разказ — че разбирането на кода вече не е задължително, че сигурността е нещо, с което AI се справя, и че бързата доставка е по-важна от безопасната доставка. Тези предположения са точно това, което доведе до разкриването на данните на 18 000 души.

Анатомия на пробива: какво всъщност се обърка

Изложеното приложение, хоствано на платформата на Lovable, според съобщенията е страдало от съзвездие от елементарни пропуски в сигурността. Това не бяха екзотични уязвимости, изискващи усъвършенствани техники за експлоатация. Това бяха грешки от учебника - такива, които се разглеждат в първата глава на всяко ръководство за уеб сигурност. Сред идентифицираните недостатъци бяха неудостоверени крайни точки на API, които връщаха пълни потребителски записи, заявки към база данни без наложена сигурност на ниво ред, ключове на API, твърдо кодирани директно в JavaScript от страна на клиента, и пълна липса на ограничаване на скоростта на чувствителни крайни точки.

Изследователите по сигурността, които проучиха приложението, отбелязаха, че личната информация — включително имейл адреси, имена, телефонни номера и в някои случаи частични данни за плащане — може да бъде извлечена просто чрез итерация през последователни потребителски идентификатори в извиквания на API. Не се изисква влизане. Не е необходим токен. Данните по същество бяха публични за всеки, който инспектира мрежовите заявки в инструментите за разработчици на своя браузър.

<блоков цитат>

Най-опасните уязвимости в сигурността не са тези, които изискват гениалност, за да се използват – те са толкова елементарни, че всеки с браузър може да се натъкне на тях. Когато не четете кода, генериран от вашия изкуствен интелект, вие не просто се справяте. Строите къща без ключалки и се надявате никой да не пробва вратата.

Основната причина: Доверие без проверка

В основата на този инцидент лежи модел, за който професионалистите по сигурността предупреждават, откакто инструментите за генериране на AI код за първи път придобиха популярност. Разработчикът - или по-точно, бързият инженер - се довери имплицитно на изхода на AI. Когато приложението изглеждаше, че работи, се предполагаше, че е готово за производство. Но „работи“ и „сигурен“ са напълно различни стандарти. Крайна точка на API може да върне правилните данни за правилния потребител и едновременно с това да върне същите тези данни на всеки неоторизиран посетител в интернет.

Генераторите на AI кодове са оптимизирани за функционална коректност, а не за устойчивост на противникови действия. Те произвеждат код, който удовлетворява подканата, а не код, който предвижда как злонамерен играч може да злоупотреби с него. Политики за сигурност на ниво ред, дезинфекция на входа, междинен софтуер за удостоверяване, конфигурация на CORS и ограничаване на скоростта са всички проблеми, които изискват умишлено внедряване, съобразено със сигурността. Те рядко възникват естествено от подкани като „създайте ми потребителско табло за управление“.

Самата платформа Lovable предоставя Supabase като свой бекенд, който предлага стабилни функции за сигурност — включително политики за сигурност на ниво ред (RLS). Но тези функции трябва да бъдат изрично активирани и правилно конфигурирани. Генерираният от изкуствен интелект код в този случай или не успя да активира RLS, или го конфигурира неправилно, създавайки широко отворен слой данни зад полиран интерфейс. Урокът е ясен: възможностите за сигурност на платформата са без значение, ако генерираният код не ги използва.

Защо това е системен проблем, а не изолиран инцидент

Би било утешително да отхвърлим това като еднократен провал на небрежен човек. Но доказателствата показват, че проблемът е структурен. Проучване на Станфорд от 2025 г. установи, че разработчиците, използващи AI асистенти, създават код с 40% повече уязвимости в сигурността от тези, които кодират ръчно – и критично, чувстват се по-уверени в сигурността на кода си. Тази пропаст в доверието е истинската опасност. Vibe кодерите не само изпращат несигурен код; те наистина вярват, че са построили нещо солидно.

Разпространението на създадени от изкуствен интелект приложения означава, че сега има хиляди производствени приложения, обработващи реални потребителски данни, които никога не са били подлагани на преглед на сигурността, тест за проникване или дори ръчен одит на кода. Много от тези приложения са създадени от соло основатели, които нямат техническа подготовка, за да оценят какво е произвел AI. Повърхността на атаката не е едно приложение — това е цяло поколение софтуер, изграден въз основа на предположението, че изходът на AI е присъщо надежден.

Помислете за типичния работен процес на Vibe кодиране и къде сигурността се проваля през пукнатините:

1. Бързо управлявано развитие: Създателят описва функции на естествен език, без да споменава изисквания за сигурност, модели за удостоверяване или политики за защита на данните.
2. Приемане без преглед: Генерираният код се тества за функционалност („бутонът работи ли?“), но никога не се проверява за сигурност („кой друг има достъп до тези данни?“).
3. Бързо внедряване: Приложението става активно в рамките на часове или дни, без среда за етапи, без тестове за сигурност и без наблюдение за неоторизиран достъп.
4. Мащабиране с излагане: Когато потребителите се регистрират и предоставят лични данни, радиусът на взрив на всяка уязвимост нараства — но създателят няма видимост за потенциални заплахи.
5. Откриване от външни лица: В крайна сметка се откриват пропуски в сигурността — не от създателя, а от изследователи, конкуренти или злонамерени участници.

Как всъщност изглежда отговорното изграждане на приложения

Нищо от това не означава, че разработката, подпомагана от AI, е опасна по своята същност или че нетехническите основатели не могат да създават легитимни продукти. Това означава, че подходът изисква парапети, информираност и - в много случаи - желание да се използват установени платформи, вместо да се строи от нулата. Основите на сигурността, които разкритото приложение не успя да внедри, не са незадължителни функции. Те са залози на маса за всяко приложение, което обработва потребителски данни.

За основатели и оператори на малък бизнес, които се нуждаят от софтуер, за да изпълняват операциите си — CRM, фактуриране, резервации, управление на екипи — най-безопасният път често е изобщо да не създават персонализирано приложение. Платформи като Mewayz съществуват именно за да премахнат този риск. С 207 предварително изградени модула, покриващи всичко от заплати и човешки ресурси до управление на автопарк, анализи и клиентски портали, Mewayz предоставя функционалността, която vibe кодерите прекарват седмици, опитвайки се да възпроизведат - освен със сигурност от корпоративен клас, подходящо удостоверяване, обработка на криптирани данни и специален инженерен екип, поддържащ инфраструктурата. 138 000 потребители, които вече са на платформата, се възползват от практики за сигурност, които нито един соло основател, подканящ AI в полунощ, не може реалистично да съпостави.

Изчислението е лесно: ако вашият основен бизнес не е разработка на софтуер, часовете, прекарани в Vibe кодиране на персонализирано приложение, биха били по-добре инвестирани в действителното управление на вашия бизнес – с помощта на инструменти, които са създадени, тествани, одитирани и поддържани от професионалисти.

Уроци за ерата на разработка, подпомагана от AI

Инцидентът Lovable не е причина да изоставите изцяло разработката, подпомагана от AI. Генерирането на AI код е мощен инструмент, който наистина ускорява създаването на софтуер. Но един инструмент е толкова безопасен, колкото и ръцете, които го боравят. Верижният трион е безценен за обучен арборист и е катастрофален за някой, който никога не е държал такъв. Същият принцип се прилага за кода за доставка, който никога не сте чели, за производствените сървъри, обработващи реални потребителски данни.

За тези, които изберат да създават персонализирани приложения с помощта на изкуствен интелект, минималният жизнеспособен контролен списък за сигурност не подлежи на обсъждане:

• Активирайте и проверете сигурността на ниво ред за всяка таблица на базата данни, която съдържа потребителски данни — след това я тествайте, като се опитате да получите достъп до записите на други потребители.
• Никога не излагайте API ключове в кода от страна на клиента. Използвайте променливи на средата от страна на сървъра и API маршрути, за да пазите тайни от браузъра.
• Внедрете междинен софтуер за удостоверяване на всяка крайна точка, която връща или променя потребителски данни. Тествайте с неавтентифицирани заявки.
• Добавяне на ограничаване на скоростта за предотвратяване на атаки с изброяване и опити за груба сила при влизане и крайни точки за данни.
• Извършете основен одит на сигурността преди стартиране — дори безплатни инструменти като OWASP ZAP могат да уловят най-явните уязвимости.
• Прочетете генерирания код. Ако не можете да го разберете, наемете някой, който може да го прегледа, преди да поставите данни на реални потребители зад него.

18 000 потребители, чиито данни са били разкрити, не са се регистрирали, знаейки, че тестват бета версия на нечий AI експеримент. Те се довериха на приложението с тяхната информация, защото изглеждаше професионално и функционираше правилно. Това доверие беше нарушено не от сложна кибератака, а от небрежност, облечена като иновация. Тъй като инструментите за разработка, задвижвани от изкуствен интелект, продължават да намаляват бариерата пред изграждането на софтуер, индустрията — и отделните създатели — трябва да гарантират, че бариерата пред доставката на защитен софтуер няма да падне с него.

Долната линия: Скоростта без сигурност е просто безразсъдство

Привлекателността на изграждането на цялостен SaaS продукт за един уикенд, като се използват само подкани на AI, е неоспорима. Но инцидентът с Lovable направи едно нещо болезнено ясно: скоростта, с която можете да създадете приложение, е безсмислена, ако не можете да гарантирате безопасността на хората, които го използват. За всяка Vibe-кодирана история на успеха, споделена в социалните медии, има неизброими количества приложения, които се намират в процес на производство в момента с абсолютно същите уязвимости — просто чакат да бъдат открити.

Независимо дали изберете да изграждате с помощта на изкуствен интелект и да инвестирате в подходящи прегледи на сигурността, или да изберете изпитана в битки платформа като Mewayz, която управлява инфраструктурата за сигурност, така че да можете да се съсредоточите върху разрастването на бизнеса си, императивът е същият: третирайте данните на вашите потребители с уважението, което заслужават. През 2026 г. „Не знаех, че кодът е несигурен“ вече не е извинение. Това е отговорност.

Често задавани въпроси

Какво е "vibe кодиране" и защо е рисковано?

Кодирането във Vibe се отнася до изграждането на софтуер с помощта на AI инструменти, като описвате това, което искате на естествен език, с минимален ръчен преглед на кода. Рискът е, че кодът, генериран от изкуствен интелект, често няма подходящи основи за сигурност като удостоверяване, валидиране на входа и криптиране на данни. Без опитни разработчици да преглеждат изхода, критичните уязвимости могат да се промъкнат незабелязани, потенциално излагайки хиляди потребители на пробиви в данните и нарушения на поверителността.

Как хостваното от Lovable приложение разкри 18 000 потребители?

Приложението съдържа основни пропуски в сигурността, включително открити API ключове, липсващо удостоверяване на крайните точки на базата данни и неадекватни контроли за достъп. Това са фундаментални уязвимости, които всеки опитен разработчик би уловил по време на преглед на кода. Тъй като приложението е създадено предимно чрез подкани на AI без задълбочен одит на сигурността, нападателите могат да получат директен достъп до потребителските данни – подчертавайки защо автоматизираното генериране на код все още изисква човешки надзор и тестване на сигурността.

Могат ли приложенията, създадени с изкуствен интелект, някога да бъдат достатъчно сигурни за производствена употреба?

Да, но само с подходящи практики за сигурност, наслоени отгоре. Генерирането на AI код е отправна точка, а не завършен продукт. Бизнесът се нуждае от преглед на кода, тестове за проникване и сигурна инфраструктура. Платформи като Mewayz смекчават това, като предоставят предварително изградена бизнес операционна система с одит на сигурността с 207 модула, започващи от $19/месец — така че получавате готови за производство инструменти, без да пишете уязвим код от нулата.

Какво трябва да научат фирмите от този инцидент?

Ключовият извод е, че скоростта никога не трябва да е за сметка на сигурността. Преди да стартирате каквото и да е приложение, обработващо потребителски данни, извършете задълбочени проверки на сигурността, независимо от това как е създадено. Помислете за използването на установени платформи с доказан опит в областта на сигурността, вместо да внедрявате нетестван код, генериран от AI. Защитата на доверието на потребителите е много по-ценна от спестяването на няколко часа време за разработка.