„Vibe“ užkoduota „Lovable-hosted“ programa, kurioje gausu pagrindinių trūkumų, atskleidė 18 tūkst. vartotojų | Mewayz Blog Skip to main content
Hacker News

„Vibe“ užkoduota „Lovable-hosted“ programa, kurioje gausu pagrindinių trūkumų, atskleidė 18 tūkst. vartotojų

komentarai

13 min read Via www.theregister.com

Mewayz Team

Editorial Team

Hacker News
Straipsnį parašysiu remdamasis savo žiniomis šia tema – incidentu, kai „Lovable“ (AI programų kūrėjas) sukurtoje programėlėje buvo rasta pagrindinių saugos trūkumų, dėl kurių buvo atskleista maždaug 18 000 vartotojų asmeninių duomenų. Tai gerai dokumentuota įspėjamoji istorija be kodo / AI-kodo erdvėje.

Kai „Vibe Coding“ sugenda: kaip be kodo programa 18 000 naudotojų atskleidė pagrindinius saugos trūkumus

Pažadas sukurti visiškai funkcionalią programą per kelias minutes naudojant dirbtinio intelekto įrankius sužavėjo verslininkus, individualius verslininkus ir šalutinių projektų entuziastus visame pasaulyje. Tačiau neseniai įvykęs incidentas, susijęs su „Lovable“ priglobta programa, sukrėtė nežabotą entuziazmą. Buvo aptikta, kad „vibe koduota“ programa, sukurta beveik vien tik naudojant AI raginimus ir minimaliai žmogaus prižiūrint, turi elementarių saugumo spragų, dėl kurių maždaug 18 000 vartotojų asmeniniai duomenys buvo atskleisti visiems, kurie žinojo, kur ieškoti. Nereikėjo sudėtingo įsilaužimo. Jokių nulinės dienos išnaudojimų. Tiesiog pagrindiniai trūkumai, kuriuos bet kuris jaunesnysis kūrėjas būtų pastebėjęs peržiūrėdamas kodą. Šis incidentas sukėlė įnirtingas diskusijas apie tai, kur yra riba tarp programinės įrangos kūrimo demokratizavimo ir neapgalvoto produktų, keliančių pavojų tikriems žmonėms, siuntimo.

Kas yra „Vibe“ kodavimas ir kodėl jis itin išpopuliarėjo?

„Vibe kodavimas“ yra terminas, skirtas apibūdinti programinės įrangos kūrimo praktiką beveik vien naudojant AI įrankius natūralia kalba – priimti viską, ką sugeneruoja modelis, retai skaityti pagrindinį kodą ir kartoti aprašant tai, ko norite, o ne suprasti, kaip ji veikia. Tokios platformos kaip „Lovable“, „Bolt“ ir „Replit Agent“ padarė šį metodą prieinamą visiems, turintiems idėją ir kredito kortelę. Rezultatai gali būti vizualiai įspūdingi: patobulintos vartotojo sąsajos, veikiantys autentifikavimo srautai ir su duomenų baze prijungtos funkcijos – visa tai sukuriama valandomis, o ne savaitėmis.

Apeliacija akivaizdi. Pramonės vertinimais, daugiau nei 70 % naujų „SaaS“ mikroprogramėlių, išleistų 2025 m., buvo kuriamos su dirbtiniu intelektu. Netechniniams įkūrėjams „Vibe“ kodavimas pašalina labiausiai bauginančią kliūtį patekti į rinką: iš tikrųjų rašyti kodą. Tačiau požiūris turi esminį trūkumą. Kai kūrėjai nesupranta kodo, kuriame veikia jų gaminys, jie taip pat nesuvokia į jį įterptos rizikos. Ir, kaip parodė „Lovable“ incidentas, ši rizika gali būti rimta.

Kultūrinis impulsas, susijęs su atmosferos kodavimu, taip pat sukūrė pavojingą pasakojimą – kad kodo supratimas dabar yra neprivalomas, kad saugumas yra tai, ką DI „tvarko“, ir kad greitas pristatymas yra svarbesnis nei saugus. Būtent dėl šių prielaidų 18 000 žmonių buvo atskleisti jų duomenys.

Pažeidimo anatomija: kas iš tikrųjų nutiko

Pranešama, kad atskleista programa, priglobta „Lovable“ platformoje, patyrė daugybę elementarių saugos gedimų. Tai nebuvo egzotiški pažeidžiamumai, kuriems reikia pažangių išnaudojimo metodų. Tai buvo vadovėlio klaidos – tokios, kokios aprašytos pirmame bet kurio žiniatinklio saugos vadovo skyriuje. Tarp nustatytų trūkumų buvo neautentifikuoti API galiniai taškai, kurie grąžino visus naudotojo įrašus, duomenų bazės užklausos, kuriose neįgyvendinta eilutės lygio sauga, API raktai, užkoduoti tiesiai į kliento pusės „JavaScript“, ir visiškas jautrių galinių taškų greičio ribojimo nebuvimas.

Programą išnagrinėję saugos tyrėjai pastebėjo, kad asmeninė informacija, įskaitant el. pašto adresus, vardus, telefono numerius ir kai kuriais atvejais dalinę mokėjimo informaciją, gali būti gaunama tiesiog kartojant naudojant nuoseklius vartotojo ID API skambučiuose. Nereikia prisijungti. Žetono nereikia. Duomenys iš esmės buvo vieši visiems, kurie tikrino tinklo užklausas savo naršyklės kūrėjo įrankiuose.

Pavojingiausios saugos spragos nėra tos, kurias išnaudoti reikia genialiai – jos yra tokios paprastos, kad į jas gali užkliūti kiekvienas, turintis naršyklę. Kai neskaitote kodo, kurį sukuria jūsų dirbtinis intelektas, jūs ne tik kertate kampus. Statote namą be spynų ir tikitės, kad niekas nebandys durų.

Pagrindinė priežastis: pasitikėjimas be patvirtinimo

Šio incidento esmė slypi modelis, apie kurį saugos specialistai įspėjo nuo tada, kai AI kodo generavimo įrankiai pirmą kartą įsitvirtino. Kūrėjas – tiksliau, greitas inžinierius – netiesiogiai pasitikėjo AI išvestimi. Kai programa atrodė, kad ji veikė, buvo manoma, kad ji yra paruošta gamybai. Tačiau „veikia“ ir „saugus“ yra visiškai skirtingi standartai. API galinis taškas gali grąžinti teisingus duomenis tinkamam vartotojui ir tuo pačiu metu grąžinti tuos pačius duomenis kiekvienam neteisėtam interneto lankytojui.

AI kodo generatoriai yra optimizuoti funkciniam teisingumui, o ne atsparumui priešintis. Jie sukuria kodą, kuris tenkina raginimą, o ne kodą, kuris numato, kaip piktybinis veikėjas gali juo piktnaudžiauti. Eilučių lygio saugos politika, įvesties valymas, autentifikavimo tarpinė programinė įranga, CORS konfigūracija ir greičio ribojimas – visa tai yra problema, kurią reikia įgyvendinti apgalvotai, atsižvelgiant į saugumą. Jie retai atsiranda natūraliai iš raginimų, pvz., „sukurk man naudotojo prietaisų skydelį“.

Pačioje platformoje „Lovable“ yra „Supabase“, kuri siūlo patikimas saugos funkcijas, įskaitant eilutės lygio saugos (RLS) politiką. Tačiau šios funkcijos turi būti aiškiai įjungtos ir tinkamai sukonfigūruotos. Šiuo atveju dirbtinio intelekto sugeneruotam kodui arba nepavyko įjungti RLS, arba jis buvo neteisingai sukonfigūruotas, sukurdamas plačiai atvirą duomenų sluoksnį už nušlifuotos sąsajos. Pamoka žiauri: platformos saugos galimybės nėra svarbios, jei sugeneruotas kodas jų nenaudoja.

Kodėl tai sisteminė problema, o ne pavienis incidentas

Būtų paguoda tai atmesti kaip vienkartinę neatsargaus asmens nesėkmę. Tačiau įrodymai rodo, kad problema yra struktūrinė. 2025 m. Stanfordo tyrimas parodė, kad kūrėjai, naudojantys AI pagalbininkus, sukūrė kodą su 40% daugiau saugumo spragų nei tie, kurie koduoja rankiniu būdu, ir kritiškai labiau pasitikėjo savo kodo saugumu. Šis pasitikėjimo trūkumas yra tikrasis pavojus. „Vibe“ kodavimo įrenginiai ne tik siunčia nesaugų kodą; jie tikrai tiki, kad sukūrė kažką tvirto.

Dauguma dirbtinio intelekto programų reiškia, kad dabar yra tūkstančiai gamybinių programų, apdorojančių tikrus naudotojo duomenis, kurioms niekada nebuvo atlikta saugumo peržiūra, įsiskverbimo testas ar net rankinis kodo auditas. Daugelį šių programų kuria pavieniai įkūrėjai, kuriems trūksta techninio pagrindo įvertinti, ką sukūrė dirbtinis intelektas. Atakos paviršius nėra viena programa – tai visa programinės įrangos karta, sukurta remiantis prielaida, kad dirbtinio intelekto išvestis iš prigimties yra patikima.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Apsvarstykite tipišką „vibe“ kodavimo darbo eigą ir tai, kur saugumas nukrenta:

  1. Spartus kūrimas: kūrėjas aprašo funkcijas natūralia kalba, neminėdamas saugos reikalavimų, autentifikavimo modelių ar duomenų apsaugos politikos.
  2. Priėmimas be peržiūros: sugeneruoto kodo funkcionalumas patikrinamas („ar mygtukas veikia?“), bet niekada neaudituojamas dėl saugumo („kas dar gali pasiekti šiuos duomenis?“).
  3. Greitas įdiegimas: programa pradeda veikti per kelias valandas ar dienas, be sustojimo aplinkos, saugumo testavimo ir neteisėtos prieigos stebėjimo.
  4. Mastelio keitimas naudojant ekspoziciją: naudotojams prisiregistravus ir pateikus asmeninius duomenis, didėja bet kokio pažeidžiamumo spindulys, tačiau kūrėjas nemato galimų grėsmių.
  5. Pašaliečių atradimas: saugumo trūkumus galiausiai nustato ne kūrėjas, o tyrėjai, konkurentai ar piktavališki veikėjai.

Kaip iš tikrųjų atrodo atsakingas programų kūrimas

Nė vienas iš šių dalykų nereiškia, kad DI pagalba yra pavojinga arba kad netechniniai kūrėjai negali sukurti teisėtų produktų. Tai reiškia, kad šis metodas reikalauja apsauginių turėklų, sąmoningumo ir – daugeliu atvejų – noro naudoti nusistovėjusias platformas, o ne kurti nuo nulio. Saugos pagrindai, kurių atskleistai programai nepavyko įdiegti, nėra pasirenkamos funkcijos. Tai yra bet kurios programos, kuri tvarko vartotojo duomenis, lentelės statymai.

Įsteigėjams ir smulkaus verslo operatoriams, kuriems reikia programinės įrangos, kad galėtų vykdyti savo veiklą – CRM, sąskaitų faktūrų išrašymą, užsakymus, komandos valdymą – dažniausiai saugiausias būdas yra apskritai nekurti tinkintos programos. Tokios platformos kaip Mewayz egzistuoja būtent šiai rizikai pašalinti. Turėdamas 207 iš anksto sukurtus modulius, apimančius viską nuo darbo užmokesčio ir personalo iki transporto parko valdymo, analizės ir klientų portalų, „Mewayz“ suteikia funkcijas, kurias „vibe“ programuotojai praleidžia savaites, bandydami pakartoti, išskyrus įmonės lygio saugumą, tinkamą autentifikavimą, šifruotą duomenų tvarkymą ir specialią infrastruktūrą prižiūrinčią inžinierių komandą. 138 000 platformoje jau esančių naudotojų turi naudos iš saugumo praktikos, kuriai neprilygsta joks vienas įkūrėjas, vidurnaktį paraginęs dirbtinį intelektą.

Skaičiavimas paprastas: jei jūsų pagrindinė veikla nėra programinės įrangos kūrimas, valandas, praleistas koduojant tinkintą programą, būtų geriau investuoti į faktinį jūsų verslo valdymą – naudojant profesionalų sukurtus, išbandytus, audituotus ir prižiūrimus įrankius.

Pamokos, skirtos dirbtinio intelekto vystymo erai

Įvykis „Lovable“ nėra priežastis visiškai atsisakyti dirbtinio intelekto kūrimo. AI kodo generavimas yra galingas įrankis, kuris tikrai pagreitina programinės įrangos kūrimą. Tačiau įrankis yra saugus tik tiek, kiek jį valdančios rankos. Grandininis pjūklas yra neįkainojamas apmokytam arboristui ir katastrofiškas žmogui, kuris niekada jo nelaikė. Tas pats principas taikomas ir siuntimo kodui, kurio niekada neskaitėte, į gamybinius serverius, tvarkančius tikrus naudotojo duomenis.

Tiems, kurie pasirenka kurti pasirinktines programas su AI pagalba, minimalus tinkamas saugos kontrolinis sąrašas yra nediskutuotinas:

  • Įgalinkite ir patikrinkite eilutės lygio saugą kiekvienoje duomenų bazės lentelėje, kurioje yra naudotojo duomenų, tada išbandykite bandydami pasiekti kitų naudotojų įrašus.
  • Niekada neatskleiskite API raktų kliento kode. Naudokite serverio aplinkos kintamuosius ir API maršrutus, kad naršyklėje nebūtų paslapčių.
  • Įdiekite tarpinę autentifikavimo programinę įrangą kiekviename galutiniame taške, kuris grąžina arba keičia naudotojo duomenis. Išbandykite su neautentifikuotomis užklausomis.
  • Pridėkite greičio apribojimą, kad išvengtumėte surašymo atakų ir žiaurios jėgos bandymų prisijungti ir duomenų galutiniuose taškuose.
  • Prieš paleidimą atlikite pagrindinį saugos patikrinimą – net nemokami įrankiai, tokie kaip OWASP ZAP, gali aptikti pačius baisiausius pažeidžiamumus.
  • Perskaitykite sugeneruotą kodą. Jei jo nesuprantate, pasamdykite žmogų, kuris galėtų jį peržiūrėti, prieš įtraukdami tikrus naudotojų duomenis.

18 000 naudotojų, kurių duomenys buvo atskleisti, neprisiregistravo žinodami, kad bando kieno nors AI eksperimentą. Jie pasitikėjo programėle savo informacija, nes ji atrodė profesionaliai ir veikė tinkamai. Tą pasitikėjimą pažeidė ne sudėtinga kibernetinė ataka, o naujovėmis aprengtas aplaidumas. Kadangi dirbtinio intelekto kūrimo įrankiai ir toliau mažina kliūtis kuriant programinę įrangą, pramonė ir pavieniai kūrėjai turi užtikrinti, kad kartu su ja nesumažėtų kliūtis saugiai programinei įrangai pristatyti.

Esmė: greitis be saugumo yra tik neapdairumas

Neabejotina, kad per savaitgalį sukuriamas visas SaaS produktas, naudojant tik AI raginimus, žavesys. Tačiau „Lovable“ incidentas skaudžiai išaiškino vieną dalyką: greitis, kuriuo galite sukurti programą, yra beprasmiška, jei negalite užtikrinti ja besinaudojančių žmonių saugumo. Kiekvienai socialinėje žiniasklaidoje pasidalijamai atspalviu užkoduotai sėkmės istorijai šiuo metu yra be galo daug gamybinių programų, turinčių lygiai tokius pačius pažeidžiamumus – tiesiog laukiama, kol bus atrasta.

Nesvarbu, ar pasirenkate kurti naudojant dirbtinio intelekto pagalbą ir investuoti į tinkamas saugos peržiūras, ar kovų patikrintą platformą, pvz., „Mewayz“, kuri tvarko saugos infrastruktūrą, kad galėtumėte sutelkti dėmesį į savo verslo plėtrą, būtinybė yra ta pati: elkitės su naudotojų duomenimis taip, kaip jie nusipelnė. 2026 m. „Aš nežinojau, kad kodas yra nesaugus“ nebėra pasiteisinimas. Tai yra įsipareigojimas.

Dažniausiai užduodami klausimai

Kas yra „vibe kodavimas“ ir kodėl tai rizikinga?

Vibe kodavimas reiškia programinės įrangos kūrimą naudojant AI įrankius, aprašant tai, ko norite, natūralia kalba, minimaliai peržiūrint kodą rankiniu būdu. Rizika yra ta, kad dirbtinio intelekto sukurtame kode dažnai trūksta tinkamų saugumo pagrindų, pvz., autentifikavimo, įvesties patvirtinimo ir duomenų šifravimo. Patyrusiems kūrėjams neperžiūrėjus išvesties, kritinės spragos gali prasibrauti ir nepastebėti, todėl tūkstančiai vartotojų gali susidurti su duomenų ir privatumo pažeidimais.

Kaip „Lovable“ priglobta programa atskleidė 18 000 naudotojų?

Programoje buvo pagrindinių saugos trūkumų, įskaitant atskleistus API raktus, trūkstamą duomenų bazės galinių taškų autentifikavimą ir netinkamus prieigos valdiklius. Tai yra pagrindiniai pažeidžiamumai, kuriuos bet kuris patyręs kūrėjas pastebėtų peržiūrėdamas kodą. Kadangi programa buvo sukurta daugiausia naudojant AI raginimus be kruopštaus saugos audito, užpuolikai galėjo tiesiogiai pasiekti naudotojo duomenis – tai pabrėžė, kodėl automatiniam kodo generavimui vis dar reikia žmogaus priežiūros ir saugumo testų.

Ar DI sukurtos programos gali būti pakankamai saugios gamybiniam naudojimui?

Taip, bet tik su tinkama saugos praktika. AI kodo generavimas yra atskaitos taškas, o ne gatavas produktas. Įmonėms reikia kodų peržiūros, skverbties testavimo ir saugios infrastruktūros. Tokios platformos kaip Mewayz sumažina tai, teikdamos iš anksto sukurtą, saugos patikrintą verslo OS su 207 moduliais, kurių kaina prasideda nuo 19 USD per mėnesį, todėl gausite gamybai paruoštus įrankius nerašydami pažeidžiamo kodo nuo nulio.

Ko įmonės turėtų pasimokyti iš šio incidento?

Svarbiausia, kad greitis niekada neturėtų būti kainuojamas saugumo kaina. Prieš paleisdami bet kokią vartotojo duomenis tvarkančią programą, atlikite išsamų saugos patikrinimą, neatsižvelgiant į tai, kaip ji buvo sukurta. Apsvarstykite galimybę naudoti nusistovėjusias platformas su patikrintais saugos įrašais, o ne diegti nepatikrintą AI sukurtą kodą. Apsaugoti vartotojų pasitikėjimą yra daug vertingiau nei sutaupyti kelių valandų kūrimo laiko.