Vibe kodli Lovable-hosting ilovasi asosiy kamchiliklarga to'la 18K foydalanuvchilarni fosh qildi.

Men maqolani ushbu mavzu bo‘yicha bilimlarim asosida yozaman — Lovable (AI ilovasi yaratuvchisi) asosida qurilgan “vibe kodlangan” ilovada 18 000 ga yaqin foydalanuvchining shaxsiy ma’lumotlarini fosh qilgan asosiy xavfsizlik kamchiliklari aniqlangan voqea. Bu kodsiz/AI-kod maydonida yaxshi hujjatlashtirilgan ogohlantiruvchi ertak.

"Vibe kodlash" noto'g'ri ketganda: kodsiz ilova qanday qilib 18 000 foydalanuvchini asosiy xavfsizlik kamchiliklariga duchor qildi

Inteliy intellekt vositalaridan foydalangan holda bir necha daqiqada toʻliq ishlaydigan ilova yaratish va'dasi butun dunyo boʻylab tadbirkorlar, yakka tartibdagi tadbirkorlar va qoʻshimcha loyihalar ishqibozlarini hayratga soldi. Ammo Lovable-hosted ilovasi bilan bog'liq yaqinda sodir bo'lgan voqea cheksiz ishtiyoqni sovuq suvga tashladi. “Vib-kodlangan” ilova – deyarli toʻliq AI koʻrsatmalari orqali yaratilgan va minimal darajada inson nazorati ostida – xavfsizlikning elementar zaifliklarini oʻz ichiga olgani aniqlandi, bu esa taxminan 18 000 foydalanuvchining shaxsiy maʼlumotlarini qaerga qarashni biladigan har bir kishi uchun ochiq qoldirdi. Murakkab xakerlik talab qilinmadi. Nolinchi kunlik ekspluatatsiyalar yo'q. Har qanday kichik ishlab chiquvchi kodni ko'rib chiqishda aniqlangan asosiy kamchiliklar. Voqea dasturiy taʼminotni ishlab chiqishni demokratlashtirish va haqiqiy odamlarni xavf ostiga qoʻyadigan mahsulotlarni ehtiyotsizlik bilan joʻnatish oʻrtasidagi chegara qayerga toʻgʻri kelishi haqida qizgʻin bahs-munozaralarga sabab boʻldi.

Vibe kodlash nima va u nima uchun ommabopligi oshdi?

"Vibe kodlash" - bu sun'iy intellekt vositalariga tabiiy tildagi takliflar orqali dasturiy ta'minotni yaratish amaliyotini tavsiflash uchun yaratilgan atama - model yaratgan narsadan qat'iy nazar qabul qilish, asosiy kodni kamdan-kam o'qish va uning qanday ishlashini tushunish o'rniga o'zingiz xohlagan narsani tasvirlash orqali takrorlash. Lovable, Bolt va Replit Agent kabi platformalar ushbu yondashuvni g'oyasi va kredit kartasi bo'lgan har bir kishi uchun ochiq qildi. Natijalar vizual jihatdan ta’sirchan bo‘lishi mumkin: jilolangan foydalanuvchi interfeyslari, ishlaydigan autentifikatsiya oqimlari va ma’lumotlar bazasiga ulangan funksiyalar – barchasi haftalar o‘rniga bir necha soat ichida yaratilgan.

Apellyatsiya aniq. Sanoat hisob-kitoblariga ko'ra, 2025 yilda ishga tushirilgan yangi SaaS mikro-ilovalarining 70% dan ortig'i sun'iy intellekt yordamida kod ishlab chiqarishning qandaydir shakllarini o'z ichiga olgan. Texnik bo'lmagan asoschilar uchun vibe kodlash kirish uchun eng qo'rqinchli to'siqni yo'q qiladi: aslida kod yozish. Ammo yondashuv asosiy kamchilikka ega. Quruvchilar o'z mahsulotida ishlaydigan kodni tushunmasalar, ular unga kiritilgan xavflarni ham tushunmaydilar. Lovable voqeasi shuni ko'rsatdiki, bu xavflar jiddiy bo'lishi mumkin.

Vib-kodlash ortidagi madaniy sur'at ham xavfli rivoyatni yaratdi - kodni tushunish endi ixtiyoriy, xavfsizlik sun'iy intellektning "qo'l ostidagi" narsadir va jo'natish tezligi xavfsiz jo'natishdan ko'ra muhimroqdir. Aynan shu taxminlar 18 000 kishining maʼlumotlari oshkor boʻlishiga olib keldi.

Buzilishning anatomiyasi: aslida nima noto'g'ri bo'ldi

Ma'lumotlarga ko'ra, Lovable's platformasida joylashgan ochiq ilova xavfsizlikning elementar nosozliklari turkumidan aziyat chekdi. Bu ilg'or ekspluatatsiya usullarini talab qiladigan ekzotik zaifliklar emas edi. Ular darslikdagi xatolar edi - har qanday veb-xavfsizlik bo'yicha qo'llanmaning birinchi bobida yoritilgan. Aniqlangan kamchiliklar orasida toʻliq foydalanuvchi yozuvlarini qaytaradigan autentifikatsiya qilinmagan API soʻnggi nuqtalari, qator darajasida xavfsizlik talab qilinmagan maʼlumotlar bazasi soʻrovlari, toʻgʻridan-toʻgʻri mijoz tomonidan JavaScript-ga qattiq kodlangan API kalitlari va nozik soʻnggi nuqtalarda tezlikni cheklashning toʻliq yoʻqligi bor edi.

Ilovani oʻrgangan xavfsizlik boʻyicha tadqiqotchilar shaxsiy maʼlumotlar, jumladan, elektron pochta manzillari, ismlar, telefon raqamlari va baʼzi hollarda qisman toʻlov tafsilotlarini API qoʻngʻiroqlarida foydalanuvchi identifikatorlari orqali takrorlash orqali olish mumkinligini taʼkidladilar. Kirish shart emas. Token kerak emas. Maʼlumotlar asosan oʻz brauzerining dasturchi vositalarida tarmoq soʻrovlarini tekshirgan har bir kishi uchun ochiq edi.

Eng xavfli xavfsizlik zaifliklari dahodan foydalanishni talab qiladigan zaifliklar emas — ular shu qadar oddiyki, brauzeri bo'lgan har bir kishi ularga qoqilib ketishi mumkin. Agar siz AI yaratadigan kodni o'qimasangiz, shunchaki burchaklarni kesib o'tmaysiz. Siz qulfsiz uy quryapsiz va hech kim eshikni sinamaydi degan umiddasiz.

Asosiy sabab: tasdiqlamasdan ishonch

Ushbu hodisaning zamirida AI kodlarini yaratish vositalari birinchi marta e'tibor qozonganidan beri xavfsizlik mutaxassislari ogohlantirayotgan naqsh yotadi. Ishlab chiquvchi - yoki aniqrog'i, tezkor muhandis - sun'iy intellektning chiqishiga so'zsiz ishongan. Ilova ishlayotgandek ko'rinsa, u ishlab chiqarishga tayyor deb taxmin qilingan. Ammo "ishlar" va "xavfsizlik" butunlay boshqacha standartlardir. API soʻnggi nuqtasi toʻgʻri foydalanuvchi uchun toʻgʻri maʼlumotlarni qaytarishi va bir vaqtning oʻzida internetdagi har bir ruxsatsiz tashrif buyuruvchiga oʻsha maʼlumotlarni qaytarishi mumkin.

AI kod ishlab chiqaruvchilari raqibga chidamliligi uchun emas, balki funksional toʻgʻriligi uchun optimallashtirilgan. Ular yovuz niyatli aktyor uni qanday suiiste'mol qilishi mumkinligini taxmin qiladigan kodni emas, balki taklifni qondiradigan kod ishlab chiqaradi. Qator darajasidagi xavfsizlik siyosati, kirishni tozalash, autentifikatsiya uchun vositachi dastur, CORS konfiguratsiyasi va tezlikni cheklash - bularning barchasi xavfsizlikni biladigan, qasddan amalga oshirishni talab qiladigan tashvishlardir. Ular kamdan-kam hollarda “menga foydalanuvchi boshqaruv panelini yarating” kabi takliflardan tabiiy ravishda chiqadi.

Lovable platformasining o'zi Supabase-ni o'zining orqa tomoni sifatida taqdim etadi, bu esa mustahkam xavfsizlik xususiyatlarini, jumladan qator darajasidagi xavfsizlik (RLS) siyosatlarini taklif qiladi. Ammo bu xususiyatlar aniq yoqilgan va to'g'ri sozlangan bo'lishi kerak. Bunday holda, AI tomonidan yaratilgan kod RLS-ni ishga tushira olmadi yoki uni noto'g'ri sozladi va sayqallangan frontend ortida keng ochiq ma'lumotlar qatlamini yaratdi. Dars juda muhim: Agar yaratilgan kod ulardan foydalanmasa, platformaning xavfsizlik imkoniyatlari ahamiyatsiz.

Nega bu alohida hodisa emas, tizimli muammo

Buni beparvo odamning bir martalik muvaffaqiyatsizligi deb qabul qilish tasalli bo'lardi. Ammo dalillar muammoning tizimli ekanligini ko'rsatadi. 2025-yilda Stenfordda o‘tkazilgan tadqiqot shuni ko‘rsatdiki, sun’iy intellekt yordamchilaridan foydalanadigan ishlab chiquvchilar qo‘lda kodlaganlarga qaraganda 40% ko‘proq xavfsizlik zaifliklari bilan kod ishlab chiqarishgan va tanqidiy jihatdan o‘z kodlari xavfsizligiga ishonchlari ko‘proq. Bu ishonch bo'shlig'i haqiqiy xavf hisoblanadi. Vibe koderlari shunchaki xavfsiz kodni yetkazib berish emas; ular chin dildan mustahkam narsa qurganliklariga ishonishadi.

Inteliy intellekt asosida yaratilgan ilovalarning koʻpayishi hozirda haqiqiy foydalanuvchi maʼlumotlariga ishlov beruvchi minglab ishlab chiqarish ilovalari mavjudligini anglatadi, ular hech qachon xavfsizlik tekshiruvidan, kirish testidan yoki hatto qoʻlda kod tekshiruvidan oʻtmagan. Ushbu ilovalarning aksariyati AI ishlab chiqargan narsalarni baholash uchun texnik ma'lumotga ega bo'lmagan yakkaxon asoschilar tomonidan yaratilgan. Hujum yuzasi bitta ilova emas — bu AI chiqishi mohiyatan ishonchli degan taxminga asoslangan dasturiy taʼminotning butun avlodidir.

Odatdagi vibe kodlash ish jarayonini va xavfsizlik qayerda yoriqlar orqali tushishini ko'rib chiqing:

1. Tezkor ishlab chiqish: Quruvchi xavfsizlik talablari, autentifikatsiya namunalari yoki maʼlumotlarni himoya qilish siyosatlari haqida gapirmasdan tabiiy tilda xususiyatlarni tasvirlaydi.
2. Koʻrib chiqmasdan qabul qilish: Yaratilgan kod funksionallik uchun sinovdan oʻtkaziladi (“tugma ishlayaptimi?”), lekin xavfsizlik uchun hech qachon tekshirilmaydi (“bu maʼlumotlarga yana kim kirishi mumkin?”).
3. Tezkor oʻrnatish: Ilova bir necha soat yoki kun ichida ishga tushadi, hech qanday muhit, xavfsizlik sinovi va ruxsatsiz kirishni nazorat qilmaydi.
4. Ta'sir qilish bilan masshtablash: Foydalanuvchilar ro'yxatdan o'tgani va shaxsiy ma'lumotlarini taqdim etgani sayin, har qanday zaiflikning portlash radiusi o'sadi - lekin quruvchi potentsial tahdidlarni ko'ra olmaydi.
5. Begona odamlar tomonidan topilgan: Xavfsizlik kamchiliklari oxir-oqibat quruvchi tomonidan emas, balki tadqiqotchilar, raqobatchilar yoki zararli aktyorlar tomonidan topiladi.

Mas'uliyatli ilovalar yaratish aslida qanday ko'rinishga ega

Bularning hech biri sun'iy intellekt yordamida ishlab chiqish o'z-o'zidan xavfli ekanligini yoki texnik bo'lmagan asoschilar qonuniy mahsulotlarni yarata olmasligini bildirmaydi. Bu shuni anglatadiki, yondashuv to'siqlar, xabardorlik va ko'p hollarda noldan qurishdan ko'ra belgilangan platformalardan foydalanishga tayyorlikni talab qiladi. Ochiq ilova amalga oshira olmagan xavfsizlik asoslari ixtiyoriy funksiyalar emas. Ular foydalanuvchi ma'lumotlari bilan ishlaydigan har qanday ilova uchun jadval stavkalari.

O'z faoliyatini amalga oshirish uchun dasturiy ta'minotga muhtoj bo'lgan ta'sischilar va kichik biznes operatorlari uchun - CRM, hisob-faktura, bron qilish, jamoani boshqarish - eng xavfsiz yo'l ko'pincha maxsus ilova yaratmaslikdir. Ushbu xavfni bartaraf etish uchunMewayz kabi platformalar mavjud. Ish haqi va kadrlar resurslaridan tortib parkni boshqarish, tahliliy va mijozlar portallarigacha bo'lgan hamma narsani o'z ichiga olgan 207 ta oldindan o'rnatilgan modul bilan Mewayz vibe-koderlar bir necha hafta davomida takrorlashga harakat qiladigan funksionallikni ta'minlaydi - korporativ darajadagi xavfsizlik, to'g'ri autentifikatsiya, shifrlangan ma'lumotlar bilan ishlash va infratuzilmani qo'llab-quvvatlovchi maxsus muhandislik guruhi bundan mustasno. Platformadagi 138 000 foydalanuvchi xavfsizlik amaliyotlaridan foydalanadi, bunga yarim tunda sunʼiy intellektni taklif qilgan yakkaxon asoschilar ham mos kelmaydi.

Hisoblash juda oddiy: agar sizning asosiy biznesingiz dasturiy ta'minotni ishlab chiqish bo'lmasa, maxsus ilovani kodlash uchun sarflangan soatlar biznesingizni amalda yuritishga, ya'ni professionallar tomonidan yaratilgan, sinovdan o'tkazilgan, tekshirilgan va texnik xizmat ko'rsatuvchi vositalardan foydalanishga sarflangan ma'qul.

AI-yordamli rivojlanish davri uchun darslar

Lovable hodisasi sun'iy intellekt yordamidagi ishlanmalardan butunlay voz kechish uchun sabab emas. AI kodini yaratish bu dasturiy ta'minotni yaratishni chinakam tezlashtiradigan kuchli vositadir. Ammo asbob faqat uni ushlab turgan qo'llar kabi xavfsizdir. Zanjirli arra o'qitilgan daraxtzor uchun bebaho va hech qachon ushlamagan odam uchun halokatli hisoblanadi. Xuddi shu tamoyil haqiqiy foydalanuvchi maʼlumotlarini qayta ishlaydigan ishlab chiqarish serverlariga hech qachon oʻqimagan joʻnatish kodiga ham tegishli.

AI yordami bilan maxsus ilovalar yaratishni tanlaganlar uchun xavfsizlikning minimal nazorat roʻyxatini muhokama qilib boʻlmaydi:

• Foydalanuvchi ma'lumotlarini o'z ichiga olgan har bir ma'lumotlar bazasi jadvalida qator darajasidagi xavfsizlikni yoqing va tekshiring — keyin boshqa foydalanuvchilarning yozuvlariga kirishga urinib, uni sinab ko'ring.
• Mijoz kodida API kalitlarini hech qachon ko‘rsatmang. Brauzerdan sir saqlash uchun server tomonidagi muhit o‘zgaruvchilari va API yo‘nalishlaridan foydalaning.
Foydalanuvchi ma'lumotlarini qaytaradigan yoki o'zgartiradigan har bir so'nggi nuqtada
• autentifikatsiya oraliq dasturini qo'llash. Tasdiqlanmagan so‘rovlar bilan sinovdan o‘ting.
Roʻyxatga olish hujumlari va kirish va maʼlumotlar soʻnggi nuqtalarida shafqatsiz kuch ishlatishga urinishlarning oldini olish uchun
• stavka cheklovini qoʻshing.
Ishga tushirishdan oldin
• asosiy xavfsizlik auditini oʻtkazing — hatto OWASP ZAP kabi bepul vositalar ham eng jiddiy zaifliklarni aniqlashi mumkin.
• Yaratilgan kodni oʻqing. Agar uni tushunmasangiz, haqiqiy foydalanuvchilar maʼlumotlarini qoʻyishdan oldin uni koʻrib chiqadigan odamni yollang.

Maʼlumotlari oshkor boʻlgan 18 000 ta foydalanuvchi birovning AI tajribasini beta-sinovdan oʻtkazayotganliklarini bilib, roʻyxatdan oʻtmagan. Ular ilovaga o'zlarining ma'lumotlariga ishonishdi, chunki u professional ko'rinishga ega va to'g'ri ishlagan. Bu ishonch murakkab kiberhujum bilan emas, balki innovatsiya sifatida kiyingan beparvolik tufayli buzildi. Sun'iy intellektga asoslangan ishlab chiqish vositalari dasturiy ta'minotni yaratishdagi to'siqni kamaytirishda davom etar ekan, sanoat va individual quruvchilar xavfsiz dasturiy ta'minotni etkazib berishdagi to'siq u bilan birga tushib ketmasligini ta'minlashi kerak.

Xulosa: Xavfsizliksiz tezlik shunchaki ehtiyotsizlikdir

Dam olish kunlarida AI ko'rsatmalaridan boshqa hech narsa ishlatmasdan to'liq SaaS mahsulotini yaratish jozibasi shubhasizdir. Ammo Lovable voqeasi bir narsani og'riqli tarzda aniq ko'rsatdi:Agar siz undan foydalanadigan odamlar xavfsizligiga kafolat bera olmasangiz, uni yaratish tezligi ma'nosizdir. Ijtimoiy tarmoqlarda baham ko'rilgan har bir vibe-kodlangan muvaffaqiyat tarixi uchun hozir ishlab chiqarishda bir xil zaifliklarga ega bo'lgan sanoqsiz sonli ilovalar mavjud - faqat kashf etilishini kutmoqda.

Siz sun'iy intellekt yordamida qurishni va tegishli xavfsizlik tekshiruvlariga sarmoya kiritishni tanlaysizmi yoki biznesingizni rivojlantirishga e'tibor qaratishingiz uchun xavfsizlik infratuzilmasi bilan shug'ullanadigan Mewayz kabi jangovar sinovdan o'tgan platformani tanlaysizmi, hamma narsa bir xil: foydalanuvchilaringiz ma'lumotlariga munosib hurmat bilan munosabatda bo'ling. 2026-yilda “kod xavfsiz emasligini bilmasdim” endi bahona emas. Bu javobgarlik.

Ko'p beriladigan savollar

"Vib-kodlash" nima va u nima uchun xavfli?

Vibe kodlash deganda AI vositalaridan foydalanib, tabiiy tilda kerakli narsani tasvirlab, kodni minimal qo‘lda ko‘rib chiqish bilan dasturiy ta’minot yaratish nazarda tutiladi. Xavf shundaki, AI tomonidan yaratilgan kod ko'pincha autentifikatsiya, kirishni tekshirish va ma'lumotlarni shifrlash kabi tegishli xavfsizlik asoslariga ega emas. Tajribali ishlab chiquvchilar natijani ko‘rib chiqmasa, muhim zaifliklar aniqlanmasdan o‘tib ketishi mumkin, bu esa minglab foydalanuvchilarni ma’lumotlar buzilishi va maxfiylik buzilishiga olib kelishi mumkin.

Lovable-hostlangan ilova 18 000 foydalanuvchini qanday fosh qildi?

Ilovada asosiy xavfsizlik kamchiliklari bor edi, jumladan ochiq API kalitlari, maʼlumotlar bazasi soʻnggi nuqtalarida autentifikatsiya yoʻqligi va kirishni boshqarishning notoʻgʻri. Bu har qanday tajribali ishlab chiquvchi kodni ko'rib chiqishda qo'lga oladigan asosiy zaifliklardir. Ilova asosan AI koʻrsatmalari orqali xavfsizlikni sinchkovlik bilan tekshirmasdan yaratilganligi sababli, tajovuzkorlar foydalanuvchi maʼlumotlariga toʻgʻridan-toʻgʻri kirishlari mumkin edi – bu avtomatlashtirilgan kod yaratish nima uchun hali ham inson nazorati va xavfsizlik testini talab qilishini taʼkidlab oʻtadi.

AI tomonidan yaratilgan ilovalar ishlab chiqarish uchun etarlicha xavfsiz bo'lishi mumkinmi?

Ha, lekin faqat yuqorida tegishli xavfsizlik amaliyotlari bilan. AI kodini yaratish tayyor mahsulot emas, balki boshlang'ich nuqtadir. Korxonalarga kodlarni tekshirish, kirish testi va xavfsiz infratuzilma kerak. Mewayz kabi platformalar buni yumshatadi, avvaldan o‘rnatilgan, xavfsizligi tekshirilgan 207 modulli biznes OT ni oyiga $19 dan boshlanadi - shuning uchun siz noldan boshlab zaif kodlarni yozmasdan ishlab chiqarishga tayyor vositalarga ega bo‘lasiz.

Bizneslar bu voqeadan nimani o'rganishi kerak?

Asosiy xulosa shundaki, tezlik hech qachon xavfsizlik narxiga tushmasligi kerak. Foydalanuvchi ma'lumotlarini qayta ishlaydigan har qanday ilovani ishga tushirishdan oldin, u qanday yaratilganidan qat'i nazar, batafsil xavfsizlik tekshiruvlarini o'tkazing. Sinovdan o'tmagan AI tomonidan yaratilgan kodni o'rnatishdan ko'ra, tasdiqlangan xavfsizlik rekordlari bilan o'rnatilgan platformalardan foydalanishni o'ylab ko'ring. Foydalanuvchi ishonchini himoya qilish bir necha soat ishlab chiqish vaqtini tejashdan ko‘ra qimmatroqdir.