Atmosfēras kodēta Lovable-hosted lietotne, kas pilna ar pamata trūkumiem, atklāja 18 000 lietotāju | Mewayz Blog Skip to main content
Hacker News

Atmosfēras kodēta Lovable-hosted lietotne, kas pilna ar pamata trūkumiem, atklāja 18 000 lietotāju

komentāri

16 min read Via www.theregister.com

Mewayz Team

Editorial Team

Hacker News
Rakstu rakstīšu, balstoties uz savām zināšanām par šo tēmu — incidentu, kad uz Lovable (AI lietotņu veidotājs) veidotai lietotnei “vibe code” tika konstatēti pamata drošības trūkumi, kas atklāja aptuveni 18 000 lietotāju personas datus. Šis ir labi dokumentēts brīdinājuma stāsts bezkoda/AI-koda telpā.

Kad "Vibe Coding" noiet greizi: kā bezkoda lietotne pakļāva 18 000 lietotāju pamata drošības trūkumiem

Solījumi izveidot pilnībā funkcionālu lietotni dažu minūšu laikā, izmantojot ar AI darbināmus rīkus, ir savaldzinājuši uzņēmējus, individuālos uzņēmējus un blakusprojektu entuziastus visā pasaulē. Taču nesenais incidents, kas saistīts ar Lovable mitināto lietojumprogrammu, ir izraisījis nevaldāmu entuziasmu. Tika atklāts, ka "vibe-kodēta" lietotne, kas gandrīz pilnībā tika izveidota, izmantojot mākslīgā intelekta uzvednes ar minimālu cilvēka uzraudzību, satur elementāras drošības ievainojamības, kas atstāja aptuveni 18 000 lietotāju personas datus atklātus ikvienam, kurš zināja, kur meklēt. Nebija nepieciešama sarežģīta uzlaušana. Nav nulles dienu varoņdarbu. Tikai pamata trūkumi, kurus jebkurš jaunākais izstrādātājs būtu pamanījis, pārskatot kodu. Šis incidents ir izraisījis asas debates par to, kur atrodas robeža starp programmatūras izstrādes demokratizāciju un tādu produktu neapdomīgu piegādi, kas pakļauj riskam reālus cilvēkus.

Kas ir Vibe kodēšana un kāpēc tā ir kļuvusi populāra?

"Vibe kodēšana" ir termins, kas izdomāts, lai aprakstītu programmatūras izveides praksi, gandrīz pilnībā izmantojot mākslīgā intelekta rīku uzvednes dabiskā valodā — pieņemt visu, ko modelis ģenerē, reti lasīt pamatā esošo kodu un atkārtot, aprakstot to, ko vēlaties, nevis izprotot, kā tas darbojas. Tādas platformas kā Lovable, Bolt un Replit Agent ir padarījušas šo pieeju pieejamu ikvienam, kam ir ideja un kredītkarte. Rezultāti var būt vizuāli iespaidīgi: noslīpētas lietotāja saskarnes, strādājošas autentifikācijas plūsmas un ar datu bāzi saistīti līdzekļi — tas viss tiek ģenerēts stundās, nevis nedēļās.

Apelācija ir acīmredzama. Saskaņā ar nozares aprēķiniem vairāk nekā 70 % no jaunajām SaaS mikrolietotnēm, kas tika laist klajā 2025. gadā, bija saistītas ar AI atbalstītu kodu ģenerēšanu. Netehniskiem dibinātājiem vibrācijas kodēšana novērš visbiedējošāko barjeru ienākšanai: faktiski koda rakstīšanu. Taču pieejai ir būtisks trūkums. Ja veidotāji nesaprot kodu, kurā darbojas viņu produkts, viņi arī nesaprot tajā ietvertos riskus. Un, kā parādīja Lovable incidents, šie riski var būt nopietni.

Vibe kodēšanas kultūras impulss ir arī radījis bīstamu stāstījumu — ka koda izpratne tagad nav obligāta, AI "apstrādā" drošību un ka ātra piegāde ir svarīgāka par drošu piegādi. Šie pieņēmumi ir tieši tie, kas noveda pie 18 000 cilvēku datu atklāšanas.

Pārkāpuma anatomija: kas patiesībā nogāja greizi

Tiek ziņots, ka atklātā lietojumprogramma, kas tika mitināta Lovable platformā, cieta no virknes elementāru drošības kļūmju. Tās nebija eksotiskas ievainojamības, kurām būtu nepieciešamas uzlabotas izmantošanas metodes. Tās bija mācību grāmatas kļūdas — tādas, kas aprakstītas jebkura tīmekļa drošības rokasgrāmatas pirmajā nodaļā. Starp konstatētajiem trūkumiem bija neautentificēti API galapunkti, kas atgrieza pilnus lietotāju ierakstus, datu bāzes vaicājumi bez rindas līmeņa drošības, API atslēgas, kas tika iekodētas tieši klienta puses JavaScript, un pilnīga ātruma ierobežojuma neesamība sensitīviem galapunktiem.

Drošības pētnieki, kas pārbaudīja lietojumprogrammu, atzīmēja, ka personas informāciju, tostarp e-pasta adreses, vārdus, tālruņu numurus un dažos gadījumos daļēju maksājumu informāciju, var izgūt, vienkārši atkārtojot secīgus lietotāju ID API izsaukumos. Nav nepieciešama pieteikšanās. Nav nepieciešams marķieris. Dati būtībā bija publiski pieejami ikvienam, kurš pārbaudīja tīkla pieprasījumus savas pārlūkprogrammas izstrādātāja rīkos.

Visbīstamākās drošības ievainojamības nav tās, kuru izmantošanai nepieciešamas ģeniālas spējas — tās ir tik vienkāršas, ka ikviens, kam ir pārlūkprogramma, var tajās uzklupt. Ja nelasāt kodu, ko ģenerē AI, jūs ne tikai nogriežat stūrus. Jūs ceļat māju bez slēdzenēm un cerat, ka neviens neizmēģinās durvis.

Pamatcēlonis: uzticēšanās bez verifikācijas

Šī incidenta pamatā ir modelis, par kuru drošības speciālisti ir brīdinājuši kopš AI koda ģenerēšanas rīku izmantošanas. Izstrādātājs — vai precīzāk, operatīvais inženieris — netieši uzticējās AI izvadei. Kad lietotne šķita, ka tā darbojas, tika pieņemts, ka tā ir gatava ražošanai. Bet "darbi" un "drošs" ir pilnīgi atšķirīgi standarti. API galapunkts var atgriezt pareizos datus pareizajam lietotājam un vienlaikus atgriezt tos pašus datus ikvienam neautorizētam apmeklētājam internetā.

AI koda ģeneratori ir optimizēti funkcionālai pareizībai, nevis pretrunīgai noturībai. Viņi izstrādā kodu, kas apmierina uzvedni, nevis kodu, kas paredz, kā ļaunprātīgs aktieris to var ļaunprātīgi izmantot. Rindu līmeņa drošības politikas, ievades dezinfekcija, autentifikācijas starpprogrammatūra, CORS konfigurācija un ātruma ierobežošana ir visas problēmas, kas prasa apzinātu, drošību apzinātu ieviešanu. Tie reti rodas dabiski no uzvednēm, piemēram, “izveidojiet man lietotāja informācijas paneli”.

Pati Lovable platforma nodrošina Supabase kā savu aizmugursistēmu, kas piedāvā stabilus drošības līdzekļus, tostarp rindas līmeņa drošības (RLS) politikas. Taču šīm funkcijām ir jābūt skaidri iespējotām un pareizi konfigurētām. AI ģenerētais kods šajā gadījumā vai nu neizdevās iespējot RLS, vai arī to konfigurēja nepareizi, izveidojot plaši atvērtu datu slāni aiz slīpētas priekšgala. Mācība ir skaudra: platformas drošības iespējām nav nozīmes, ja ģenerētais kods tās neizmanto.

Kāpēc šī ir sistēmiska problēma, nevis atsevišķs incidents

Būtu iepriecinoši to noraidīt kā vienreizēju neuzmanīgas personas neveiksmi. Taču pierādījumi liecina, ka problēma ir strukturāla. 2025. gada Stenfordas pētījums atklāja, ka izstrādātāji, kas izmanto AI palīgus, izstrādāja kodu ar par 40% vairāk drošības ievainojamību nekā tie, kas kodē manuāli, un kritiski jutās pārliecinātāki par sava koda drošību. Šī pārliecības plaisa ir patiesas briesmas. Vibe kodētāji ne tikai piegādā nedrošu kodu; viņi patiesi tic, ka ir izveidojuši kaut ko stabilu.

Ar mākslīgā intelekta izstrādāto lietotņu izplatība nozīmē, ka tagad ir tūkstošiem ražošanas lietojumprogrammu, kas apstrādā reālus lietotāja datus un kurām nekad nav veikta drošības pārbaude, iespiešanās pārbaude vai pat manuāla koda pārbaude. Daudzas no šīm lietotnēm ir izveidojuši atsevišķi dibinātāji, kuriem trūkst tehniskās zināšanas, lai novērtētu AI radīto. Uzbrukuma virsma nav viena lietotne — tā ir visa programmatūras paaudze, kas izveidota, pamatojoties uz pieņēmumu, ka mākslīgā intelekta izvade pēc savas būtības ir uzticama.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Apsveriet tipisko atmosfēru kodēšanas darbplūsmu un to, kur drošība ir apdraudēta:

  1. Tūlītēja izstrāde: veidotājs apraksta līdzekļus dabiskā valodā, neminot drošības prasības, autentifikācijas modeļus vai datu aizsardzības politikas.
  2. Pieņemšana bez pārskatīšanas: ģenerētā koda funkcionalitāte tiek pārbaudīta ("vai poga darbojas?"), taču netiek pārbaudīta drošība ("kas vēl var piekļūt šiem datiem?").
  3. Ātra izvietošana: lietotne sāk darboties dažu stundu vai dienu laikā, bez inscenēšanas vides, bez drošības pārbaudes un bez uzraudzības, vai nav nesankcionētas piekļuves.
  4. Mērogošana ar ekspozīciju: lietotājiem reģistrējoties un sniedzot personas datus, jebkuras ievainojamības rādiuss palielinās, taču veidotājs nevar redzēt iespējamos draudus.
  5. Atklāšana no nepiederošām personām: drošības trūkumus galu galā atklāj nevis būvētājs, bet gan pētnieki, konkurenti vai ļaunprātīgi dalībnieki.

Kā patiesībā izskatās atbildīga lietotņu veidošana

Nekas no tā nenozīmē, ka AI atbalstīta izstrāde pēc būtības ir bīstama vai ka netehniskie dibinātāji nevar izveidot likumīgus produktus. Tas nozīmē, ka šai pieejai ir vajadzīgas aizsargmargas, izpratne un — daudzos gadījumos — vēlme izmantot jau izveidotas platformas, nevis būvēt no nulles. Drošības pamati, kurus atklātajai lietotnei neizdevās ieviest, nav papildu līdzekļi. Tie ir tabulas likmes jebkurai lietojumprogrammai, kas apstrādā lietotāja datus.

Dibinātājiem un mazo uzņēmumu operatoriem, kuriem operāciju veikšanai nepieciešama programmatūra — CRM, rēķinu izrakstīšana, rezervēšana, komandas pārvaldība — drošākais ceļš bieži vien ir vispār neveidot pielāgotu lietotni. Tādas platformas kā Mewayz pastāv tieši, lai novērstu šo risku. Ar 207 iepriekš iebūvētiem moduļiem, kas aptver visu, sākot no algu uzskaites un personāla līdz autoparka pārvaldībai, analītikai un klientu portāliem, Mewayz nodrošina funkcionalitāti, ko vibe kodētāji pavada nedēļas, mēģinot atkārtot, izņemot uzņēmuma līmeņa drošību, pareizu autentifikāciju, šifrētu datu apstrādi un īpašu inženieru komandu, kas uztur infrastruktūru. 138 000 lietotāju, kuri jau izmanto platformu, gūst labumu no drošības prakses, ko neviens dibinātājs, kurš pusnaktī pamudinātu izmantot mākslīgo intelektu, nevar reāli līdzināties.

Aprēķins ir vienkāršs: ja jūsu pamatdarbība nav programmatūras izstrāde, stundas, kas pavadītas, kodējot pielāgotu lietotni, būtu labāk ieguldīt uzņēmuma faktiskā vadīšanā — izmantojot rīkus, kurus ir izstrādājuši, testējuši, auditējuši un uzturējuši profesionāļi.

Nodarbības AI atbalstītas attīstības laikmetam

Negadījums Lovable nav iemesls, lai pilnībā atteikties no AI atbalstītas izstrādes. AI koda ģenerēšana ir spēcīgs rīks, kas patiesi paātrina programmatūras izveidi. Bet instruments ir tik drošs, cik ar to rokās ir rokas. Motorzāģis ir nenovērtējams kvalificētam arboristam un katastrofāls tiem, kam tas nekad nav bijis. Tas pats princips attiecas uz piegādes kodu, kuru jūs nekad neesat lasījis ražošanas serveriem, kas apstrādā reālus lietotāja datus.

Tiem, kuri izvēlas veidot pielāgotas lietojumprogrammas ar AI palīdzību, minimālais izmantojamais drošības kontrolsaraksts nav apspriežams.

  • Iespējojiet un pārbaudiet rindas līmeņa drošību katrā datu bāzes tabulā, kurā ir lietotāja dati. Pēc tam pārbaudiet to, mēģinot piekļūt citu lietotāju ierakstiem.
  • Nekad neatklājiet API atslēgas klienta puses kodā. Izmantojiet servera puses vides mainīgos un API maršrutus, lai pārlūkprogrammā neslēptu noslēpumus.
  • Ieviesiet autentifikācijas starpprogrammatūru katrā galapunktā, kas atgriež vai modificē lietotāja datus. Pārbaude ar neautentificētiem pieprasījumiem.
  • Pievienojiet ātruma ierobežojumu, lai novērstu uzskaitīšanas uzbrukumus un brutāla spēka mēģinājumus pieteikšanās un datu galapunktos.
  • Izpildiet pamata drošības auditu pirms palaišanas — pat tādi bezmaksas rīki kā OWASP ZAP var atklāt visbriesmīgākās ievainojamības.
  • Izlasiet ģenerēto kodu. Ja jūs to nesaprotat, nolīgiet kādu, kas to var pārskatīt, pirms ievietojat reālus lietotāju datus.

18 000 lietotāju, kuru dati tika atklāti, nereģistrējās, zinot, ka viņi testē kāda cilvēka AI eksperimentu. Viņi uzticēja lietotnei savu informāciju, jo tā izskatījās profesionāla un darbojās pareizi. Šo uzticību pārkāpa nevis sarežģīts kiberuzbrukums, bet gan nolaidība, kas ietērpta kā inovācija. Tā kā ar mākslīgo intelektu darbināmi izstrādes rīki turpina samazināt šķēršļus programmatūras izveidei, nozarei un atsevišķiem būvniekiem ir jānodrošina, lai līdz ar to nesamazinās arī barjera drošas programmatūras piegādei.

Galvenais punkts: ātrums bez drošības ir tikai pārgalvība

Nenoliedzami ir pievilcība izveidot pilnīgu SaaS produktu nedēļas nogalē, izmantojot tikai mākslīgā intelekta uzvednes. Taču Lovable incidents ir padarījis sāpīgi skaidru vienu: ātrumam, kādā varat izveidot lietotni, nav nozīmes, ja nevarat garantēt to lietotāju drošību. Katram sociālajos saziņas līdzekļos kopīgotajam veiksmes stāstam, kas ir iekodēts, ir redzams, ka pašlaik tiek ražots neskaitāms skaits lietojumprogrammu ar tieši tādām pašām ievainojamībām — tās tikai gaida, kad tiks atklātas.

Neatkarīgi no tā, vai izvēlaties veidot ar mākslīgā intelekta palīdzību un ieguldāt pienācīgos drošības pārskatos, vai arī izvēlaties kaujās pārbaudītu platformu, piemēram, Mewayz, kas apstrādā drošības infrastruktūru, lai jūs varētu koncentrēties uz sava biznesa attīstību, obligāts nosacījums ir tāds pats: izturieties pret savu lietotāju datiem ar cieņu, ko tie ir pelnījuši. 2026. gadā "es nezināju, ka kods ir nedrošs" vairs nav attaisnojums. Tā ir atbildība.

Bieži uzdotie jautājumi

Kas ir "vibe kodēšana" un kāpēc tas ir riskanti?

Vibe kodēšana attiecas uz programmatūras izveidi, izmantojot AI rīkus, aprakstot to, ko vēlaties dabiskā valodā, ar minimālu manuālu koda pārskatīšanu. Pastāv risks, ka mākslīgā intelekta ģenerētajam kodam bieži trūkst atbilstošu drošības pamatu, piemēram, autentifikācijas, ievades validācijas un datu šifrēšanas. Ja pieredzējuši izstrādātāji nepārskatīs izvadi, kritiskās ievainojamības var tikt atklātas, un tūkstošiem lietotāju var tikt pakļauti datu un privātuma pārkāpumiem.

Kā lietotne Lovable atklāja 18 000 lietotāju?

Lietotnē bija pamata drošības trūkumi, tostarp atklātas API atslēgas, trūkst autentifikācijas datu bāzes galapunktos un neatbilstoša piekļuves kontrole. Šīs ir būtiskas ievainojamības, kuras ikviens pieredzējis izstrādātājs varētu uztvert koda pārskatīšanas laikā. Tā kā lietotne tika izstrādāta galvenokārt, izmantojot mākslīgā intelekta uzvednes bez rūpīgas drošības pārbaudes, uzbrucēji varēja tieši piekļūt lietotāja datiem, tādējādi uzsverot, kāpēc automatizētai koda ģenerēšanai joprojām ir nepieciešama cilvēka uzraudzība un drošības pārbaude.

Vai mākslīgā intelekta izstrādātās lietotnes var būt pietiekami drošas ražošanas lietošanai?

Jā, bet tikai ar atbilstošu drošības praksi. AI koda ģenerēšana ir sākumpunkts, nevis gatavs produkts. Uzņēmumiem ir nepieciešama kodu pārskatīšana, iespiešanās pārbaude un droša infrastruktūra. Platformas, piemēram, Mewayz, to mazina, nodrošinot iepriekš iebūvētu, drošības auditētu biznesa operētājsistēmu ar 207 moduļiem, sākot no 19 ASV dolāriem mēnesī — tādējādi jūs iegūstat ražošanai gatavus rīkus, nerakstot ievainojamu kodu no jauna.

Kas uzņēmumiem būtu jāmācās no šī incidenta?

Galvenais ir tas, ka ātrums nekad nedrīkst būt par drošības rēķina. Pirms jebkuras lietotnes, kas apstrādā lietotāju datus, palaišanas veiciet rūpīgu drošības auditu neatkarīgi no tā, kā tā tika izveidota. Apsveriet iespēju izmantot izveidotas platformas ar pierādītiem drošības ierakstiem, nevis izmantot nepārbaudītu AI ģenerētu kodu. Lietotāju uzticības aizsardzība ir daudz vērtīgāka nekā dažu stundu izstrādes laika ietaupīšana.