Вибе кодирана апликација хостована у Ловабле-у пуна основних недостатака које је открило 18.000 корисника

Написаћу чланак на основу мог познавања ове теме — инцидента у којем је откривено да апликација „кодирана вибрацијом“ изграђена на Ловабле-у (произвођачу АИ апликација) има основне безбедносне пропусте који су открили личне податке приближно 18.000 корисника. Ово је добро документована прича упозорења у простору без кода/АИ-кода. <х2>Када "Вибе Цодинг" пође по злу: Како је апликација без кода изложила 18.000 корисника основним безбедносним пропустима <п>Обећање изградње потпуно функционалне апликације за неколико минута помоћу алата са вештачком интелигенцијом очарало је предузетнике, самосталне предузетнике и ентузијасте споредних пројеката широм света. Али недавни инцидент који укључује апликацију хостовану на Ловабле-у бацио је воду на необуздани ентузијазам. Откривено је да апликација „кодирана вибрацијом“ — направљена скоро у потпуности путем АИ упита са минималним људским надзором — садржи елементарне безбедносне пропусте због којих су лични подаци отприлике 18.000 корисника били изложени свима који су знали где да траже. Није било потребно софистицирано хаковање. Нема експлоата нултог дана. Само основне мане које би сваки млађи програмер ухватио у прегледу кода. Инцидент је изазвао жестоку дебату о томе где је граница између демократизације развоја софтвера и непромишљеног испорука производа који доводе стварне људе у опасност. <х2>Шта је Вибе кодирање и зашто је постало популарно? <п>„Вибе кодирање“ је термин који је скован да опише праксу прављења софтвера скоро у потпуности путем упита на природном језику за АИ алате — прихватање свега што модел генерише, ретко читање основног кода и понављање описујући шта желите, а не разумевање како функционише. Платформе попут Ловабле, Болт и Реплит Агент учиниле су овај приступ доступним свима који имају идеју и кредитну картицу. Резултати могу бити визуелно импресивни: углађени кориснички интерфејси, радни токови аутентификације и функције повезане са базом података — све се генерише сатима уместо недељама. <п>Жалба је очигледна. Према проценама индустрије, преко 70% нових СааС микро-апликација лансираних 2025. укључивало је неки облик генерисања кода уз помоћ вештачке интелигенције. За нетехничке осниваче, вибе кодирање елиминише најстрашнију баријеру за улазак: заправо писање кода. Али приступ носи фундаменталну ману. Када градитељи не разумеју код који покреће њихов производ, они такође не разумеју ризике који су у њему уграђени. И као што је показао инцидент са Ловаблеом, ти ризици могу бити озбиљни. <п>Културни замах иза кодирања вибрација такође је створио опасан наратив — да је разумевање кода сада опционо, да је безбедност нешто чиме АИ „рукује“ и да је брза испорука важнија од безбедне испоруке. Ове претпоставке су управо оно што је довело до тога да 18.000 људи открије своје податке. <х2>Анатомија пробоја: шта је заправо пошло по злу <п>Откривена апликација, хостована на платформи Ловабле, наводно је патила од низа елементарних безбедносних грешака. То нису биле егзотичне рањивости које захтевају напредне технике експлоатације. Биле су то грешке у уџбеницима — оне које су описане у првом поглављу било ког водича за безбедност на вебу. Међу идентификованим недостацима биле су неауторизоване АПИ крајње тачке које су враћале пуне корисничке записе, упити базе података без примењене безбедности на нивоу реда, АПИ кључеви чврсто кодирани директно у ЈаваСцрипт на страни клијента и потпуно одсуство ограничења брзине на осетљивим крајњим тачкама. <п>Истраживачи безбедности који су прегледали апликацију приметили су да се лични подаци — укључујући адресе е-поште, имена, бројеве телефона и у неким случајевима делимичне детаље о плаћању — могу преузети једноставним понављањем узастопних корисничких ИД-ова у АПИ позивима. Није потребна пријава. Није потребан токен. Подаци су у суштини били јавни за свакога ко је прегледао мрежне захтеве у алаткама за програмере свог прегледача. <блоцккуоте> <п><стронг>Најопасније безбедносне рањивости нису оне које захтевају генијалност да би се искоришћавале – оне су толико основне да свако ко има прегледач може да налети на њих. Када не прочитате код који генерише ваша АИ, не само да сечете углова. Градиш кућу без брава и надаш се да нико неће пробати врата. <х2>Основни узрок: Поверење без верификације<п>У срцу овог инцидента лежи образац на који су стручњаци за безбедност упозоравали откако су алати за генерисање АИ кода први пут постали популарни. Програмер - или тачније, брзи инжењер - је имплицитно веровао излазу АИ. Када је апликација изгледала као да ради, претпостављало се да је спремна за производњу. Али „ради“ и „безбедно“ су потпуно различити стандарди. Крајња тачка АПИ-ја може да врати тачне податке за тачног корисника и истовремено врати те исте податке сваком неовлашћеном посетиоцу на интернету. <п>Генератори АИ кодова су оптимизовани за функционалну исправност, а не отпорност на супротстављање. Они производе код који задовољава упит, а не код који предвиђа како би га злонамерни актер могао злоупотребити. Безбедносне политике на нивоу реда, санација уноса, међуверзија за аутентификацију, ЦОРС конфигурација и ограничење брзине су све бриге које захтевају намерну имплементацију која је свесна безбедности. Ретко се појављују природно из упита попут „направи ми корисничку контролну таблу“. <п>Платформа Ловабле сама обезбеђује Супабасе као позадину, која нуди робусне безбедносне функције — укључујући безбедносне смернице на нивоу редова (РЛС). Али ове функције морају бити експлицитно омогућене и исправно конфигурисане. Код генерисан од вештачке интелигенције у овом случају или није успео да омогући РЛС или га је погрешно конфигурисао, стварајући широко отворен слој података иза углађеног фронтенда. Поука је оштра: <стронг>безбедносне могућности платформе су ирелевантне ако их генерисани код не користи. <х2>Зашто је ово системски проблем, а не изоловани инцидент <п>Било би утешно одбацити ово као једнократни неуспех неопрезног појединца. Али докази сугеришу да је проблем структурални. Студија из Стенфорда из 2025. показала је да су програмери који користе помоћнике вештачке интелигенције произвели код са 40% више безбедносних пропуста од оних који су кодирали ручно – и што је критички, били су сигурнији у безбедност свог кода. Овај јаз у поверењу је права опасност. Вибе кодери не шаљу само небезбедни код; они искрено верују да су направили нешто чврсто. <п>Све већи број апликација направљених од вештачке интелигенције значи да сада постоје хиљаде производних апликација које рукују стварним корисничким подацима које никада нису биле подвргнуте безбедносном прегледу, тесту пенетрације, па чак ни ручној ревизији кода. Многе од ових апликација су направили соло оснивачи којима недостаје техничка позадина да би проценили шта је АИ произвела. Површина напада није једна апликација – то је читава генерација софтвера изграђена на претпоставци да је АИ излаз инхерентно поуздан. <п>Размотрите типичан ток рада кодирања вибрацијом и где безбедност пада кроз пукотине: <ол> <ли><стронг>Развој заснован на брзини: Креатор описује функције на природном језику, без помињања безбедносних захтева, образаца аутентификације или смерница за заштиту података. <ли><стронг>Прихватање без прегледа: Генерисани код се тестира на функционалност („да ли дугме ради?“), али никада није проверен у погледу безбедности („ко још може да приступи овим подацима?“). <ли><стронг>Брза примена: Апликација постаје активна у року од неколико сати или дана, без окружења за постављање, без безбедносног тестирања и без надгледања неовлашћеног приступа. <ли><стронг>Скалирање са изложеношћу: Како се корисници региструју и обезбеђују личне податке, радијус експлозије сваке рањивости расте — али креатор нема видљивост потенцијалних претњи. <ли><стронг>Откриће аутсајдера: Безбедносне пропусте на крају пронађу — не од стране произвођача, већ од стране истраживача, конкурената или злонамерних актера. <х2>Како одговорна изградња апликација заправо изгледа <п>Ништа од овога не значи да је развој уз помоћ вештачке интелигенције сам по себи опасан или да нетехнички оснивачи не могу да праве легитимне производе. То значи да приступ захтева заштитне ограде, свест и - у многим случајевима - спремност да се користе успостављене платформе уместо да се гради од нуле. Основе безбедности које изложена апликација није успела да примени нису опционе функције. То су улози у табели за сваку апликацију која рукује корисничким подацима.<п>За осниваче и оператере малих предузећа којима је потребан софтвер за вођење својих операција — ЦРМ, фактурисање, резервације, управљање тимом — најсигурнији пут је често да уопште не направе прилагођену апликацију. Платформе попут <стронг>Меваиз постоје управо да би елиминисале овај ризик. Са 207 унапред изграђених модула који покривају све, од платног списка и људских ресурса до управљања возним парком, аналитике и клијентских портала, Меваиз пружа функционалност коју вибе кодери проводе недељама покушавајући да реплицирају — осим са безбедношћу на нивоу предузећа, одговарајућом аутентификацијом, руковањем шифрованим подацима и наменским инжењерским тимом који одржава инфраструктуру. 138.000 корисника који су већ на платформи имају користи од безбедносних пракси са којима ниједан соло оснивач који подстиче АИ у поноћ не може реално да парира. <п>Израчун је једноставан: ако ваша основна делатност није развој софтвера, сати проведени у вибрацији кодирања прилагођене апликације боље би се уложили у стварно вођење вашег пословања — користећи алате које су направили, тестирали, проверавали и одржавали професионалци. <х2>Лекције за еру развоја уз помоћ вештачке интелигенције <п>Инцидент Ловабле није разлог да се потпуно одустане од развоја уз помоћ вештачке интелигенције. Генерисање АИ кода је моћан алат који заиста убрзава креирање софтвера. Али алат је сигуран онолико колико су безбедне руке које њиме рукују. Моторна тестера је од непроцењиве вредности за обученог арбористе и катастрофална за некога ко је никада није држао. Исти принцип се примењује на код за испоруку који никада нисте прочитали на производним серверима који рукују стварним корисничким подацима. <п>За оне који одлуче да праве прилагођене апликације уз помоћ вештачке интелигенције, о минималној одрживој безбедносној контролној листи се не може преговарати: <ул> <ли><стронг>Омогућите и проверите безбедност на нивоу реда на свакој табели базе података која садржи корисничке податке — а затим је тестирајте покушајем да приступите записима других корисника. <ли><стронг>Никада не излажите АПИ кључеве у коду на страни клијента. Користите променљиве окружења на страни сервера и АПИ руте да бисте чували тајне изван прегледача. <ли><стронг>Примените средњи софтвер за потврду идентитета на сваку крајњу тачку која враћа или мења корисничке податке. Тестирајте са захтевима без аутентификације. <ли><стронг>Додајте ограничење брзине да бисте спречили нападе набрајања и покушаје грубе силе на крајњим тачкама за пријављивање и податке. <ли><стронг>Покрените основну безбедносну ревизију пре покретања — чак и бесплатни алати као што је ОВАСП ЗАП могу да открију најтеже рањивости. <ли><стронг>Прочитајте генерисани код. Ако не можете да га разумете, унајмите некога ко може да га прегледа пре него што ставите податке стварних корисника иза њега. <п>18.000 корисника чији су подаци откривени није се пријавило знајући да бета тестирају нечији АИ експеримент. Апликацији су поверили своје информације јер је изгледала професионално и исправно је функционисала. То поверење није нарушено софистицираним сајбер нападом, већ немаром обученим као иновација. Како развојни алати засновани на вештачкој интелигенцији настављају да снижавају баријеру за прављење софтвера, индустрија — и појединачни произвођачи — морају да обезбеде да баријера за испоруку безбедног софтвера не падне са њом. <х2>Закључна линија: Брзина без сигурности је само непромишљеност <п>Привлачност израде комплетног СааС производа током викенда користећи само АИ упутства је неоспорна. Али инцидент са Ловабле-ом је учинио једну ствар болно јасном: <стронг>брзина којом можете да направите апликацију је бесмислена ако не можете да гарантујете безбедност људи који је користе. За сваку вибром шифровану причу о успеху која се дели на друштвеним медијима, постоји небројен број апликација које су тренутно у производњи са потпуно истим рањивостима – које само чекају да буду откривене. <п>Било да одлучите да градите уз помоћ вештачке интелигенције и инвестирате у одговарајуће безбедносне прегледе или се одлучите за платформу тестирану у борби као што је Меваиз која управља безбедносном инфраструктуром како бисте се могли усредсредити на развој свог пословања, императив је исти: третирајте податке својих корисника са поштовањем које заслужују. 2026. „Нисам знао да је код несигуран“ више није изговор. То је обавеза. <х2>Честа питања <х3>Шта је то „кодирање вибрације“ и зашто је ризично?<п>Вибе кодирање се односи на прављење софтвера помоћу АИ алата тако што опишете шта желите на природном језику, уз минималан ручни преглед кода. Ризик је у томе што коду генерисаном вештачком интелигенцијом често недостају одговарајуће безбедносне основе као што су аутентификација, валидација уноса и шифровање података. Без искусних програмера који прегледају резултате, критичне рањивости могу да прођу неоткривене, потенцијално излажући хиљаде корисника кршењу података и приватности. <х3>Како је апликација хостована Ловабле разоткрила 18.000 корисника? <п>Апликација је садржала основне безбедносне пропусте, укључујући изложене АПИ кључеве, недостајућу аутентификацију на крајњим тачкама базе података и неадекватне контроле приступа. Ово су фундаменталне рањивости које би сваки искусни програмер ухватио током прегледа кода. Пошто је апликација направљена првенствено путем АИ упита без детаљне провере безбедности, нападачи могу директно да приступе корисничким подацима — наглашавајући зашто аутоматизовано генерисање кода и даље захтева људски надзор и безбедносно тестирање. <х3>Могу ли апликације направљене од вештачке интелигенције икада бити довољно безбедне за употребу у производњи? <п>Да, али само са одговарајућим безбедносним праксама на врху. Генерисање АИ кода је почетна тачка, а не готов производ. Предузећима су потребни прегледи кода, тестирање пенетрације и сигурна инфраструктура. Платформе као што је <а хреф="хттпс://апп.меваиз.цом">Меваиз ублажавају ово тако што пружају унапред изграђен, безбедносно ревидиран пословни ОС са 207 модула почевши од 19 УСД месечно — тако да добијате алатке спремне за производњу без писања рањивог кода од нуле. <х3>Шта предузећа треба да науче из овог инцидента? <п>Кључни закључак је да брзина никада не би требало да буде по цену безбедности. Пре покретања било које апликације која рукује корисничким подацима, извршите темељне безбедносне ревизије без обзира на то како је направљена. Размислите о коришћењу успостављених платформи са доказаним безбедносним записима уместо да примењујете непроверени код генерисан АИ. Заштита поверења корисника је много вреднија од уштеде неколико сати времена за развој. <сцрипт типе="апплицатион/лд+јсон">{"@цонтект":"хттпс:\/\/сцхема.орг","@типе":"ФАКПаге","маинЕнтити":[{"@типе":"Куестион","наме":"Шта је то \"вибе цодинг\" и зашто је ризично?","аццептедАнсвер:"","аццептедАнсвер:"" кодирање се односи на прављење софтвера помоћу АИ алата описивањем онога што желите на природном језику, са минималним ручним прегледом кода. екпосинг"}},{"@типе":"Питање","наме":"Како је апликација са хостингом Ловабле разоткрила 18.000 корисника?","аццептедАнсвер":{"@типе":"Ансвер","тект":"Апликација је садржала основне безбедносне пропусте укључујући откривене АПИ кључеве, недостајуће провере аутентичности базе података и основне контроле у бази података.уладе које би сваки искусни програмер ухватио током прегледа кода Пошто је апликација направљена првенствено путем АИ упита без детаљне безбедносне ревизије, нападачи могу директно да приступе корисничким подацима \у2014 истичући зашто "}},{"@типе":"Куестион","наме":"Могу ли апликације направљене од вештачке интелигенције икада бити довољно безбедне за производњу. користити?","аццептедАнсвер":{"@типе":"Ансвер","тект":"Да, али само са одговарајућим безбедносним праксама на врху, генерисање АИ кода је почетна тачка, а не готов производ. $19\/мо \у2014 тако да добијате алате спремне за производњу без писања рањивог кода "}},{"@типе":"Куестион","наме":"Шта би предузећа требало да науче из овог инцидента?","аццептедАнсвер":{"@типе":"Одговор","тект":"Кључни закључак је да брзина покретања података никада не би требало да буде у рукама корисника провере без обзира на то како је направљен. Размислите о коришћењу успостављених платформи са доказаним безбедносним записима, а не о примени непровереног кода генерисаног од вештачке интелигенције. Заштита поверења корисника је много вреднија од уштеде неколико сати развоја