Vibe kódovaná aplikácia hostená spoločnosťou Lovable plná základných nedostatkov, ktoré odhalilo 18 000 používateľov | Mewayz Blog Skip to main content
Hacker News

Vibe kódovaná aplikácia hostená spoločnosťou Lovable plná základných nedostatkov, ktoré odhalilo 18 000 používateľov

Komentáre

16 min read Via www.theregister.com

Mewayz Team

Editorial Team

Hacker News
Článok napíšem na základe mojich vedomostí o tejto téme – incidente, keď sa zistilo, že aplikácia „kódovaná vibráciami“ postavená na Lovable (tvorca aplikácií AI) má základné bezpečnostné chyby, ktoré odhalili osobné údaje približne 18 000 používateľov. Toto je dobre zdokumentovaný varovný príbeh v priestore bez kódu/AI kódu.

Keď sa „Vibe Coding“ pokazí: Ako aplikácia bez kódu vystavila 18 000 používateľov základným bezpečnostným chybám

Sľub vybudovať plne funkčnú aplikáciu za pár minút pomocou nástrojov poháňaných AI zaujal podnikateľov, samostatných podnikateľov a nadšencov vedľajších projektov na celom svete. Ale nedávny incident týkajúci sa aplikácie hostenej na Lovable vhodil studenú vodu na nespútané nadšenie. Zistilo sa, že aplikácia „kódovaná vibráciami“ – vytvorená takmer výlučne pomocou výziev AI s minimálnym ľudským dohľadom – obsahuje základné bezpečnostné chyby, ktoré spôsobili, že osobné údaje približne 18 000 používateľov boli vystavené každému, kto vedel, kde ich hľadať. Nebolo potrebné žiadne sofistikované hackovanie. Žiadne zero-day exploity. Len základné chyby, ktoré by každý junior vývojár zachytil pri kontrole kódu. Incident podnietil búrlivú diskusiu o tom, kde je hranica medzi demokratizáciou vývoja softvéru a bezohľadným dodávaním produktov, ktoré ohrozujú skutočných ľudí.

Čo je kódovanie Vibe a prečo sa stalo populárnym?

„Kódovanie vibrácií“ je termín vytvorený na opis praxe vytvárania softvéru takmer výlučne prostredníctvom výziev v prirodzenom jazyku do nástrojov AI – akceptovanie čohokoľvek, čo model generuje, zriedka čítanie základného kódu a opakovanie opisovaním toho, čo chcete, namiesto toho, aby ste pochopili, ako to funguje. Platformy ako Lovable, Bolt a Replit Agent sprístupnili tento prístup každému, kto má nápad a kreditnú kartu. Výsledky môžu byť vizuálne pôsobivé: prepracované používateľské rozhrania, fungujúce overovacie postupy a funkcie spojené s databázou – to všetko sa generuje za hodiny namiesto týždňov.

Odvolanie je zrejmé. Podľa odhadov odvetvia viac ako 70 % nových mikroaplikácií SaaS spustených v roku 2025 zahŕňalo nejakú formu generovania kódu pomocou AI. Pre netechnických zakladateľov kódovanie vibrácií eliminuje tú najodstrašujúcejšiu prekážku vstupu: skutočné písanie kódu. Tento prístup má však zásadnú chybu. Keď tvorcovia nerozumejú kódu, ktorý spúšťa ich produkt, nerozumejú ani rizikám, ktoré sú v ňom obsiahnuté. A ako ukázal incident Lovable, tieto riziká môžu byť vážne.

Kultúrna dynamika kódovania vibrácií tiež vytvorila nebezpečný príbeh – že pochopenie kódu je teraz voliteľné, že bezpečnosť je niečo, čo „ovláda“ AI, a že na rýchlej preprave záleží viac ako na bezpečnej preprave. Tieto predpoklady presne viedli k tomu, že 18 000 ľudí odhalilo svoje údaje.

Anatómia porušenia: Čo sa vlastne pokazilo

Odhalená aplikácia, hosťovaná na platforme Lovable, údajne trpela konšteláciou základných bezpečnostných zlyhaní. Neboli to exotické zraniteľnosti vyžadujúce pokročilé techniky využívania. Boli to učebnicové chyby – také, aké sú opísané v prvej kapitole akéhokoľvek sprievodcu webovou bezpečnosťou. Medzi identifikovanými chybami boli neoverené koncové body API, ktoré vracali úplné záznamy používateľov, databázové dotazy bez vynúteného zabezpečenia na úrovni riadkov, kľúče API napevno zakódované priamo do JavaScriptu na strane klienta a úplná absencia obmedzenia rýchlosti na citlivých koncových bodoch.

Bezpečnostní výskumníci, ktorí skúmali aplikáciu, poznamenali, že osobné informácie – vrátane e-mailových adries, mien, telefónnych čísel a v niektorých prípadoch aj čiastočných platobných údajov – je možné získať jednoduchým opakovaním pomocou sekvenčných ID používateľov vo volaniach API. Nevyžaduje sa žiadne prihlásenie. Nie je potrebný žiadny token. Údaje boli v podstate verejné pre každého, kto skontroloval sieťové požiadavky vo vývojárskych nástrojoch svojho prehliadača.

Najnebezpečnejšie bezpečnostné chyby nie sú tie, ktorých zneužitie vyžaduje génia – sú také základné, že na ne môže naraziť každý, kto má prehliadač. Keď nečítate kód, ktorý generuje vaša AI, nerobíte to len tak. Staviate dom bez zámkov a dúfate, že nikto nevyskúša dvere.

Hlavná príčina: Dôverujte bez overenia

Jadrom tohto incidentu je vzorec, na ktorý odborníci v oblasti bezpečnosti upozorňujú, odkedy nástroje na generovanie kódu AI prvýkrát získali trakciu. Vývojár – alebo presnejšie rýchly inžinier – implicitne dôveroval výstupu AI. Keď aplikácia vyzerala, že funguje, predpokladalo sa, že je pripravená na výrobu. Ale „funguje“ a „bezpečné“ sú úplne odlišné štandardy. Koncový bod API môže vrátiť správne údaje pre správneho používateľa a súčasne vrátiť rovnaké údaje každému neoprávnenému návštevníkovi na internete.

Generátory kódu AI sú optimalizované pre funkčnú správnosť, nie odporovú odolnosť. Vytvárajú kód, ktorý uspokojí výzvu, nie kód, ktorý predvída, ako by ho mohol zlomyseľný aktér zneužiť. Zásady zabezpečenia na úrovni riadkov, dezinfekcia vstupov, autentizačný middleware, konfigurácia CORS a obmedzenie rýchlosti sú všetky problémy, ktoré si vyžadujú zámernú implementáciu s ohľadom na bezpečnosť. Málokedy sa prirodzene vynárajú z výziev typu „zostavte mi používateľský informačný panel.“

Samotná platforma Lovable poskytuje Supabase ako svoj backend, ktorý ponúka robustné bezpečnostné funkcie – vrátane pravidiel zabezpečenia na úrovni riadkov (RLS). Tieto funkcie však musia byť explicitne povolené a správne nakonfigurované. Kód vygenerovaný AI v tomto prípade buď zlyhal pri aktivácii RLS, alebo ho nesprávne nakonfiguroval, čím sa za vylešteným frontendom vytvorila široko otvorená dátová vrstva. Poučenie je jasné: bezpečnostné možnosti platformy sú irelevantné, ak ich vygenerovaný kód nepoužíva.

Prečo ide o systémový problém, nie o izolovaný incident

Bolo by príjemné odmietnuť to ako jednorazové zlyhanie neopatrného jednotlivca. Ale dôkazy naznačujú, že problém je štrukturálny. Štúdia zo Stanfordu z roku 2025 zistila, že vývojári používajúci asistentov AI vytvorili kód s o 40 % väčším počtom bezpečnostných zraniteľností ako tí, ktorí kódovali manuálne – a čo je najdôležitejšie, mali väčšiu istotu o bezpečnosti svojho kódu. Táto medzera v dôvere je skutočným nebezpečenstvom. Kódovače Vibe nie sú len odosielaním nezabezpečeného kódu; skutočne veria, že vybudovali niečo pevné.

Šírenie aplikácií vytvorených AI znamená, že v súčasnosti existujú tisíce produkčných aplikácií, ktoré spracúvajú skutočné používateľské údaje, ktoré nikdy neprešli bezpečnostnou kontrolou, penetračným testom alebo dokonca manuálnym auditom kódu. Mnohé z týchto aplikácií vytvorili sólo zakladatelia, ktorým chýba technické zázemie na vyhodnotenie toho, čo vytvorila AI. Plocha útoku nie je jedna aplikácia – je to celá generácia softvéru postavená na predpoklade, že výstup AI je vo svojej podstate dôveryhodný.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Zvážte typický pracovný postup kódovania vibrácií a miesta, kde bezpečnosť prepadáva:

  1. Promptný vývoj: Tvorca popisuje funkcie v prirodzenom jazyku bez zmienky o bezpečnostných požiadavkách, vzoroch autentifikácie alebo politikách ochrany údajov.
  2. Prijatie bez kontroly: Funkčnosť vygenerovaného kódu je testovaná („funguje tlačidlo?“), ale nikdy sa nekontroluje bezpečnosť („kto iný má prístup k týmto údajom?“).
  3. Rýchle nasadenie: Aplikácia sa spustí v priebehu niekoľkých hodín alebo dní, bez prípravného prostredia, bez testovania zabezpečenia a bez monitorovania neoprávneného prístupu.
  4. Škálovanie s rizikom: Keď sa používatelia zaregistrujú a poskytnú osobné údaje, rádius akejkoľvek zraniteľnosti sa zväčší – ale tvorca nemá prehľad o potenciálnych hrozbách.
  5. Odhalenie outsidermi: Bezpečnostné chyby sú nakoniec nájdené – nie tvorcom, ale výskumníkmi, konkurentmi alebo zlomyseľnými aktérmi.

Ako v skutočnosti vyzerá zodpovedné vytváranie aplikácií

Nič z toho neznamená, že vývoj podporovaný AI je vo svojej podstate nebezpečný, alebo že netechnickí zakladatelia nemôžu vytvárať legitímne produkty. Znamená to, že tento prístup si vyžaduje ochranné zábradlia, povedomie a – v mnohých prípadoch – ochotu používať zavedené platformy namiesto budovania od nuly. Základy zabezpečenia, ktoré sa nepodarilo implementovať vystavenej aplikácii, nie sú voliteľné funkcie. Sú to stávky tabuľky pre akúkoľvek aplikáciu, ktorá spracováva údaje používateľa.

Pre zakladateľov a prevádzkovateľov malých firiem, ktorí potrebujú softvér na prevádzku svojich operácií – CRM, fakturácia, rezervácie, správa tímu – je často najbezpečnejšou cestou nevybudovanie vlastnej aplikácie. Platformy ako Mewayz existujú práve na elimináciu tohto rizika. S 207 predpripravenými modulmi pokrývajúcimi všetko od miezd a ľudských zdrojov až po správu vozového parku, analýzy a klientske portály poskytuje Mewayz funkcie, ktoré sa kódovači vibrácií snažia replikovať týždne – s výnimkou zabezpečenia na podnikovej úrovni, správnej autentifikácie, spracovania šifrovaných údajov a špecializovaného inžinierskeho tímu, ktorý udržiava infraštruktúru. 138 000 používateľov, ktorí sú už na platforme, ťaží z bezpečnostných postupov, ktorým sa žiadny sólo zakladateľ, ktorý si o polnoci vyžiada AI, reálne nevyrovná.

Výpočet je jednoduchý: ak vašou hlavnou činnosťou nie je vývoj softvéru, hodiny strávené programovaním vlastnej aplikácie by bolo lepšie investovať do skutočného prevádzkovania vašej firmy – pomocou nástrojov, ktoré vytvorili, testovali, auditovali a spravovali profesionáli.

Lekcie pre éru asistovaného vývoja

Incident Lovable nie je dôvodom na úplné opustenie vývoja s pomocou AI. Generovanie kódu AI je výkonný nástroj, ktorý skutočne urýchľuje tvorbu softvéru. Ale nástroj je len taký bezpečný ako ruky, ktoré ho držia. Motorová píla je neoceniteľná pre trénovaného arboristu a katastrofálna pre niekoho, kto ju nikdy nedržal. Rovnaký princíp platí pre prepravný kód, ktorý ste nikdy neprečítali na produkčné servery, ktoré spracúvajú skutočné používateľské údaje.

Pre tých, ktorí sa rozhodnú vytvárať vlastné aplikácie s pomocou AI, sa o minimálnom realizovateľnom kontrolnom zozname zabezpečenia nedá rokovať:

  • Povoľte a overte zabezpečenie na úrovni riadkov v každej databázovej tabuľke, ktorá obsahuje údaje používateľa – potom ju otestujte pokusom o prístup k záznamom iných používateľov.
  • Nikdy nezverejňujte kľúče API v kóde na strane klienta. Používajte premenné prostredia na strane servera a trasy rozhrania API, aby ste pred prehliadačom ukryli tajomstvá.
  • Implementujte overovací middleware na každom koncovom bode, ktorý vracia alebo upravuje údaje používateľa. Testujte s neoverenými požiadavkami.
  • Pridajte obmedzenie rýchlosti, aby ste predišli útokom na enumeráciu a pokusom hrubou silou na koncové body prihlásenia a údajov.
  • Pred spustením spustite základný bezpečnostný audit – dokonca aj bezplatné nástroje ako OWASP ZAP dokážu zachytiť tie najzávažnejšie chyby zabezpečenia.
  • Prečítajte si vygenerovaný kód. Ak mu nerozumiete, najmite si niekoho, kto ho môže skontrolovať ešte predtým, ako zaň vložíte údaje skutočných používateľov.

18 000 používateľov, ktorých údaje boli zverejnené, sa nezaregistrovalo s vedomím, že beta testujú niečí experiment AI. Dôverovali aplikácii so svojimi informáciami, pretože vyzerala profesionálne a fungovala správne. Táto dôvera nebola narušená sofistikovaným kybernetickým útokom, ale nedbalosťou prezlečenou za inováciu. Keďže vývojové nástroje poháňané umelou inteligenciou naďalej znižujú prekážku pri vytváraní softvéru, priemysel – a jednotliví tvorcovia – musia zabezpečiť, aby sa s ním nestratila prekážka dodávania zabezpečeného softvéru.

Sčítané a podčiarknuté: Rýchlosť bez zabezpečenia je len nedbanlivosť

Pôvab vybudovať kompletný produkt SaaS cez víkend s použitím iba výziev AI je nepopierateľný. Incident Lovable však jednu vec bolestne objasnil: rýchlosť, akou môžete vytvoriť aplikáciu, nemá zmysel, ak nemôžete zaručiť bezpečnosť ľudí, ktorí ju používajú. Pre každý úspešný príbeh zdieľaný na sociálnych médiách existuje nespočetné množstvo aplikácií, ktoré sú práve teraz vo výrobe s presne rovnakými zraniteľnosťami – čakajúce na objavenie.

Či už sa rozhodnete stavať s pomocou AI a investujete do riadnych bezpečnostných kontrol, alebo sa rozhodnete pre platformu overenú bojom, ako je Mewayz, ktorá spravuje bezpečnostnú infraštruktúru, aby ste sa mohli sústrediť na rast svojho podnikania, imperatív je rovnaký: zaobchádzajte s údajmi svojich používateľov s rešpektom, ktorý si zaslúži. V roku 2026 už nie je výhovorka „Nevedel som, že kód je nezabezpečený“. Je to zodpovednosť.

Často kladené otázky

Čo je „kódovanie vibrácií“ a prečo je riskantné?

Kódovanie Vibe sa týka vytvárania softvéru pomocou nástrojov AI popisovaním toho, čo chcete, v prirodzenom jazyku s minimálnou manuálnou kontrolou kódu. Rizikom je, že kódu vygenerovanému AI často chýbajú správne bezpečnostné základy, ako je autentifikácia, overenie vstupu a šifrovanie údajov. Bez toho, aby skúsení vývojári skontrolovali výstup, môžu kritické zraniteľnosti prekĺznuť neodhalené a potenciálne vystaviť tisícky používateľov narušeniu ochrany údajov a súkromia.

Ako aplikácia hostená Lovable odhalila 18 000 používateľov?

Aplikácia obsahovala základné bezpečnostné chyby vrátane odhalených kľúčov API, chýbajúceho overenia na koncových bodoch databázy a nedostatočných ovládacích prvkov prístupu. Toto sú základné zraniteľnosti, ktoré by každý skúsený vývojár zachytil počas kontroly kódu. Keďže aplikácia bola vytvorená primárne pomocou výziev AI bez dôkladného bezpečnostného auditu, útočníci mohli pristupovať priamo k údajom používateľa – čo zdôrazňuje, prečo automatické generovanie kódu stále vyžaduje ľudský dohľad a bezpečnostné testovanie.

Môžu byť aplikácie vytvorené pomocou AI niekedy dostatočne bezpečné na produkčné použitie?

Áno, ale iba so správnymi bezpečnostnými postupmi navrstvenými navrchu. Generovanie kódu AI je východiskovým bodom, nie hotovým produktom. Firmy potrebujú kontroly kódu, penetračné testovanie a zabezpečenú infraštruktúru. Platformy ako Mewayz to zmierňujú tým, že poskytujú vopred zostavený podnikový operačný systém s auditom zabezpečenia s 207 modulmi od 19 USD/mesiac – takže získate nástroje pripravené na výrobu bez toho, aby ste museli od začiatku písať zraniteľný kód.

Čo by sa mali firmy z tohto incidentu naučiť?

Hlavné je, že rýchlosť by nikdy nemala byť na úkor bezpečnosti. Pred spustením akejkoľvek aplikácie narábajúcej s používateľskými údajmi vykonajte dôkladné bezpečnostné audity bez ohľadu na to, ako bola vytvorená. Zvážte použitie zavedených platforiem s overenými bezpečnostnými záznamami namiesto nasadzovania netestovaného kódu generovaného AI. Ochrana dôvery používateľov je oveľa cennejšia ako úspora niekoľkých hodín času na vývoj.