Vibe kodirana aplikacija sa Lovable hostingom puna osnovnih nedostataka koje je otkrilo 18.000 korisnika | Mewayz Blog Skip to main content
Hacker News

Vibe kodirana aplikacija sa Lovable hostingom puna osnovnih nedostataka koje je otkrilo 18.000 korisnika

Komentari

13 min read Via www.theregister.com

Mewayz Team

Editorial Team

Hacker News
Napisaću članak na osnovu mog poznavanja ove teme — incidenta u kojem je otkriveno da aplikacija "kodirana vibrom" izgrađena na Lovable-u (izrađivač AI aplikacija) ima osnovne sigurnosne propuste koji su razotkrili lične podatke približno 18.000 korisnika. Ovo je dobro dokumentovana priča upozorenja u prostoru bez koda/AI-koda.

Kada "Vibe Coding" pođe po zlu: Kako je aplikacija bez koda izložila 18.000 korisnika osnovnim sigurnosnim propustima

Obećanje o izradi potpuno funkcionalne aplikacije za nekoliko minuta pomoću alata s AI-om je očaralo poduzetnike, samostalne poduzetnike i entuzijaste sporednih projekata širom svijeta. Ali nedavni incident koji uključuje aplikaciju hostovanu Lovable bacio je hladnu vodu na neobuzdani entuzijazam. Otkriveno je da aplikacija "kodirana vibracijom" - napravljena gotovo u potpunosti putem AI upita uz minimalan ljudski nadzor - sadrži elementarne sigurnosne propuste zbog kojih su lični podaci otprilike 18.000 korisnika bili izloženi svakome ko je znao gdje da traži. Nije bilo potrebno sofisticirano hakovanje. Nema eksploata nultog dana. Samo osnovne mane koje bi svaki mlađi programer uhvatio u pregledu koda. Incident je izazvao žestoku debatu o tome gdje je granica između demokratizacije razvoja softvera i nepromišljenog slanja proizvoda koji dovode stvarne ljude u opasnost.

Šta je Vibe kodiranje i zašto je postalo popularno?

"Vibe kodiranje" je termin koji je skovan da opiše praksu izrade softvera gotovo u potpunosti putem upita na prirodnom jeziku za AI alate - prihvatanje svega što model generiše, rijetko čitanje osnovnog koda i ponavljanje opisujući ono što želite umjesto razumijevanja kako funkcionira. Platforme poput Lovable, Bolt i Replit Agent učinile su ovaj pristup dostupnim svima koji imaju ideju i kreditnu karticu. Rezultati mogu biti vizuelno impresivni: uglađeni korisnički interfejsi, radni tokovi provjere autentičnosti i funkcije povezane s bazom podataka — sve se generira u satima umjesto u sedmicama.

Žalba je očigledna. Prema procjenama industrije, preko 70% novih SaaS mikro-aplikacija lansiranih 2025. uključivalo je neki oblik generiranja koda uz pomoć umjetne inteligencije. Za netehničke osnivače, vibracijsko kodiranje eliminiše najstrašniju prepreku za ulazak: zapravo pisanje koda. Ali pristup nosi fundamentalnu manu. Kada graditelji ne razumiju kod koji pokreće njihov proizvod, oni također ne razumiju rizike koji su u njemu ugrađeni. I kao što je pokazao incident sa Lovableom, ti rizici mogu biti ozbiljni.

Kulturni zamah iza kodiranja vibracija također je stvorio opasan narativ - da je razumijevanje koda sada opciono, da je sigurnost nešto čime AI "rukuje" i da je brza isporuka važnija od bezbedne isporuke. Ove pretpostavke su upravo ono što je dovelo do toga da 18.000 ljudi otkrije svoje podatke.

Anatomija proboja: Šta je zapravo pošlo po zlu

Otkrivena aplikacija, hostirana na Lovableovoj platformi, navodno je patila od niza elementarnih sigurnosnih grešaka. To nisu bile egzotične ranjivosti koje zahtijevaju napredne tehnike eksploatacije. Bile su to greške u udžbenicima — one vrste koje su obrađene u prvom poglavlju bilo kojeg vodiča za web sigurnost. Među identifikovanim nedostacima bile su neautorizovane API krajnje tačke koje su vraćale pune korisničke zapise, upiti baze podataka bez nametnute sigurnosti na nivou reda, API ključevi čvrsto kodirani direktno u JavaScript na strani klijenta i potpuno odsustvo ograničenja brzine na osetljivim krajnjim tačkama.

Sigurnosni istraživači koji su pregledali aplikaciju primijetili su da se lični podaci – uključujući adrese e-pošte, imena, telefonske brojeve i u nekim slučajevima djelimične detalje o plaćanju – mogu dohvatiti jednostavnim ponavljanjem uzastopnih korisničkih ID-ova u API pozivima. Nije potrebna prijava. Nije potreban token. Podaci su u suštini bili javni svima koji su pregledali mrežne zahtjeve u programerskim alatima svog pretraživača.

Najopasnije sigurnosne ranjivosti nisu one koje zahtijevaju genijalnost da bi se iskoristile – one su toliko osnovne da svako ko ima pretraživač može naletjeti na njih. Kada ne čitate kod koji generira vaša umjetna inteligencija, nećete samo sjeći uglove. Gradiš kuću bez brava i nadaš se da niko neće probati vrata.

Osnovni uzrok: povjerenje bez verifikacije

U srcu ovog incidenta leži obrazac na koji su sigurnosni profesionalci upozoravali otkako su alati za generiranje AI koda prvi put postali popularni. Programer - ili tačnije, brzi inženjer - je implicitno vjerovao izlazu AI. Kada je aplikacija izgledala kao da radi, pretpostavljalo se da je spremna za proizvodnju. Ali "radi" i "sigurno" su potpuno različiti standardi. API krajnja tačka može vratiti ispravne podatke za ispravnog korisnika i istovremeno vratiti te iste podatke svakom neovlaštenom posjetitelju na internetu.

Generatori AI kodova optimizirani su za funkcionalnu ispravnost, a ne otpornost na suprotstavljanje. Oni proizvode kod koji zadovoljava prompt, a ne kod koji predviđa kako bi ga zlonamjerni akter mogao zloupotrijebiti. Sigurnosne politike na nivou reda, sanacija unosa, međuverzija za autentifikaciju, CORS konfiguracija i ograničenje brzine su sve brige koje zahtijevaju namjernu implementaciju svjesnu sigurnosti. Rijetko se pojavljuju prirodno iz upita poput "napravi mi korisničku kontrolnu tablu."

Platforma Lovable sama pruža Supabase kao svoju pozadinu, koja nudi robusne sigurnosne karakteristike — uključujući politike sigurnosti na nivou reda (RLS). Ali ove funkcije moraju biti eksplicitno omogućene i ispravno konfigurirane. Kod koji je generirao AI u ovom slučaju ili nije uspio da omogući RLS ili ga je pogrešno konfigurirao, stvarajući široko otvoren sloj podataka iza uglađenog frontenda. Lekcija je oštra: sigurnosne mogućnosti platforme su irelevantne ako ih generirani kod ne koristi.

Zašto je ovo sistemski problem, a ne izolirani incident

Bilo bi utješno odbaciti ovo kao jednokratni neuspjeh neopreznog pojedinca. Ali dokazi sugeriraju da je problem strukturalni. Studija iz Stanforda iz 2025. godine pokazala je da su programeri koji koriste AI pomoćnike proizveli kod sa 40% više sigurnosnih propusta od onih koji su kodirali ručno – i što je kritično, bili su sigurniji u sigurnost svog koda. Ovaj jaz u povjerenju je prava opasnost. Vibe koderi ne šalju samo nesiguran kod; oni iskreno vjeruju da su izgradili nešto čvrsto.

Sve veći broj aplikacija izgrađenih od umjetne inteligencije znači da sada postoje hiljade proizvodnih aplikacija koje rukuju stvarnim korisničkim podacima koje nikada nisu bile podvrgnute sigurnosnom pregledu, testu penetracije, pa čak ni ručnoj reviziji koda. Mnoge od ovih aplikacija su napravili solo osnivači koji nemaju tehničku pozadinu da procijene šta je AI proizvela. Površina napada nije jedna aplikacija – to je čitava generacija softvera izgrađena na pretpostavci da je AI izlaz inherentno pouzdan.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Razmotrite tipičan tok rada kodiranja vibracijom i gdje sigurnost pada kroz pukotine:

  1. Razvoj vođen brzinom: Kreator opisuje funkcije na prirodnom jeziku, bez pominjanja sigurnosnih zahtjeva, obrazaca autentifikacije ili politika zaštite podataka.
  2. Prihvatanje bez pregleda: Generisani kod se testira na funkcionalnost ("da li dugme radi?"), ali nikada nije proveren u pogledu sigurnosti ("ko još može pristupiti ovim podacima?").
  3. Brza implementacija: Aplikacija postaje aktivna u roku od nekoliko sati ili dana, bez okruženja za postavljanje, bez sigurnosnih testiranja i bez nadzora za neovlašteni pristup.
  4. Skaliranje sa izloženošću: Kako se korisnici prijavljuju i daju lične podatke, radijus eksplozije svake ranjivosti raste — ali graditelj nema vidljivost potencijalnih prijetnji.
  5. Otkriće autsajdera: Sigurnosne propuste na kraju pronađu — ne od strane proizvođača, već od strane istraživača, konkurenata ili zlonamjernih aktera.

Kako odgovorna izgradnja aplikacija zapravo izgleda

Ništa od ovoga ne znači da je razvoj uz pomoć umjetne inteligencije sam po sebi opasan, ili da netehnički osnivači ne mogu graditi legitimne proizvode. To znači da pristup zahtijeva zaštitne ograde, svijest i - u mnogim slučajevima - spremnost da se koriste uspostavljene platforme umjesto da se gradi od nule. Osnove sigurnosti koje izložena aplikacija nije uspjela implementirati nisu opcione funkcije. To su ulozi u tablici za svaku aplikaciju koja rukuje korisničkim podacima.

Za osnivače i male poslovne operatere kojima je potreban softver za vođenje svojih operacija — CRM, fakturiranje, rezervacije, upravljanje timom — najsigurniji put je često uopće ne napraviti prilagođenu aplikaciju. Platforme poput Mewayz postoje upravo da eliminišu ovaj rizik. Sa 207 unaprijed izgrađenih modula koji pokrivaju sve, od platnog spiska i ljudskih resursa do upravljanja voznim parkom, analitike i klijentskih portala, Mewayz pruža funkcionalnost koju vibe koderi provode sedmicama pokušavajući da repliciraju - osim sa sigurnošću na nivou preduzeća, odgovarajućom autentifikacijom, rukovanjem šifrovanim podacima i namenskim inženjerskim timom koji održava infrastrukturu. 138.000 korisnika koji su već na platformi imaju koristi od sigurnosnih praksi s kojima nijedan solo osnivač koji podstiče AI u ponoć ne može realno da parira.

Izračun je jednostavan: ako vaša osnovna djelatnost nije razvoj softvera, sati provedeni vibracijom kodiranja prilagođene aplikacije bolje bi se uložili u stvarno vođenje vašeg poslovanja — korištenjem alata koje su izradili, testirali, revidirali i održavali profesionalci.

Lekcije za eru razvoja uz pomoć umjetne inteligencije

Incident Lovablea nije razlog da se u potpunosti odustane od razvoja uz pomoć umjetne inteligencije. Generiranje AI koda je moćan alat koji istinski ubrzava kreiranje softvera. Ali alat je siguran koliko i ruke koje njime rukuju. Motorna testera je od neprocenjive vrednosti za obučenog arboriste i katastrofalna za nekoga ko je nikada nije držao. Isti princip se primjenjuje na kod za isporuku koji nikada niste pročitali na proizvodnim serverima koji rukuju stvarnim korisničkim podacima.

Za one koji odluče da prave prilagođene aplikacije uz pomoć veštačke inteligencije, o minimalnoj održivoj bezbednosnoj kontrolnoj listi se ne može pregovarati:

  • Omogućite i provjerite sigurnost na nivou reda na svakoj tablici baze podataka koja sadrži korisničke podatke — a zatim je testirajte pokušajem pristupa zapisima drugih korisnika.
  • Nikada nemojte izlagati API ključeve u kodu na strani klijenta. Koristite varijable okruženja na strani servera i API rute da tajne čuvate izvan pretraživača.
  • Implementirajte međuverzije za autentifikaciju na svakoj krajnjoj tački koja vraća ili mijenja korisničke podatke. Testirajte sa zahtjevima bez autentifikacije.
  • Dodajte ograničenje brzine da spriječite napade nabrajanja i pokušaje grube sile na krajnjim tačkama prijave i podataka.
  • Pokrenite osnovnu reviziju sigurnosti prije pokretanja — čak i besplatni alati kao što je OWASP ZAP mogu otkriti najteže ranjivosti.
  • Pročitajte generirani kod. Ako ga ne možete razumjeti, unajmite nekoga ko ga može pregledati prije nego što stavite podatke stvarnih korisnika iza njega.

18.000 korisnika čiji su podaci otkriveni nije se prijavilo znajući da testiraju nečiji AI eksperiment. Aplikaciji su povjerili svoje podatke jer je izgledala profesionalno i ispravno funkcionirala. To povjerenje nije narušeno sofisticiranim sajber napadom, već nemarom preodjenutim kao inovacija. Kako razvojni alati zasnovani na umjetnoj inteligenciji nastavljaju da snižavaju barijeru za pravljenje softvera, industrija — i pojedinačni proizvođači — moraju osigurati da barijera za isporuku sigurnog softvera ne padne s tim.

Suština: Brzina bez sigurnosti je samo nepromišljenost

Privlačnost izgradnje kompletnog SaaS proizvoda tijekom vikenda koristeći samo AI upute je neosporna. Ali incident sa Lovableom je učinio jednu stvar bolno jasnom: brzina kojom možete napraviti aplikaciju je besmislena ako ne možete garantirati sigurnost ljudi koji je koriste. Za svaku vibrom kodiranu priču o uspjehu podijeljenu na društvenim mrežama, postoji nebrojeni broj aplikacija koje su trenutno u proizvodnji s potpuno istim ranjivostima – koje samo čekaju da budu otkrivene.

Bilo da odaberete da gradite uz pomoć umjetne inteligencije i investirate u odgovarajuće sigurnosne preglede ili se odlučite za platformu testiranu u borbi kao što je Mewayz koja upravlja sigurnosnom infrastrukturom kako biste se mogli usredotočiti na razvoj vašeg poslovanja, imperativ je isti: tretirajte podatke svojih korisnika s poštovanjem koje zaslužuju. Godine 2026. "Nisam znao da je kod nesiguran" više nije izgovor. To je obaveza.

Često postavljana pitanja

Šta je "vibe kodiranje" i zašto je rizično?

Vibe kodiranje se odnosi na pravljenje softvera koristeći AI alate tako što opišete ono što želite na prirodnom jeziku, uz minimalan ručni pregled koda. Rizik je u tome što kodu generisanom veštačkom inteligencijom često nedostaju odgovarajuće bezbednosne osnove kao što su autentifikacija, validacija unosa i enkripcija podataka. Bez iskusnih programera koji pregledaju rezultate, kritične ranjivosti mogu proći neotkrivene, potencijalno izlažući hiljade korisnika kršenju podataka i privatnosti.

Kako je aplikacija s hostom Lovable razotkrila 18.000 korisnika?

Aplikacija je sadržavala osnovne sigurnosne nedostatke uključujući izložene API ključeve, nedostajuću autentifikaciju na krajnjim točkama baze podataka i neadekvatne kontrole pristupa. Ovo su fundamentalne ranjivosti koje bi svaki iskusni programer uhvatio tokom pregleda koda. Budući da je aplikacija napravljena prvenstveno putem AI upita bez detaljne sigurnosne revizije, napadači mogu direktno pristupiti korisničkim podacima — naglašavajući zašto automatizirano generiranje koda još uvijek zahtijeva ljudski nadzor i sigurnosno testiranje.

Mogu li aplikacije napravljene od umjetne inteligencije ikada biti dovoljno sigurne za upotrebu u proizvodnji?

Da, ali samo sa odgovarajućim sigurnosnim praksama na vrhu. Generisanje AI koda je početna tačka, a ne gotov proizvod. Preduzećima su potrebni pregledi koda, testiranje penetracije i sigurna infrastruktura. Platforme poput Mewayz ublažavaju ovo tako što pružaju unaprijed izgrađen, sigurnosno revidiran poslovni OS sa 207 modula počevši od 19 USD mjesečno — tako da dobijate alate spremne za proizvodnju bez pisanja ranjivog koda od nule.

Šta bi preduzeća trebala naučiti iz ovog incidenta?

Ključni zaključak je da brzina nikada ne bi trebala biti po cijenu sigurnosti. Prije pokretanja bilo koje aplikacije koja rukuje korisničkim podacima, izvršite temeljite sigurnosne revizije bez obzira na to kako je napravljena. Razmislite o korištenju uspostavljenih platformi s dokazanim sigurnosnim zapisima umjesto implementacije neprovjerenog koda generiranog umjetnom inteligencijom. Zaštita povjerenja korisnika je mnogo vrijednija od uštede nekoliko sati vremena razvoja.