Платформа vibe coding под названием Lovable оказалась в центре критики после того, как специалист по безопасности Таймур Хан проверил одно из размещенных там приложений из сферы EdTech. В ходе анализа он насчитал 16 уязвимостей, и сразу шесть из них отнес к критическим. При этом внешне сервис выглядел вполне аккуратно и работал без сбоев, что и создает ложное ощущение надежности.
Как утверждает исследователь, из-за проблем с контролем доступа приложение фактически открыло дорогу к базе более чем с 18 тысячами пользовательских записей. Речь идет не о случайных аккаунтах, а о данных преподавателей и студентов крупных университетов и школ. Самое неприятное в этой истории то, что для многих действий не требовалась полноценная авторизация. Посторонний мог просматривать информацию о пользователях, удалять учетные записи, менять баланс средств, рассылать массовые письма, а также получать доступ к учебным курсам и системе выставления оценок, по сути не входя в систему.
Главной причиной Хан назвал элементарную ошибку в логике: механизм был выстроен так, будто зарегистрированному пользователю доступ нужно запрещать. По его мнению, такой промах легко мог появиться при генерации серверного кода искусственным интеллектом без нормальной проверки, ведь любой внимательный рецензент, скорее всего, заметил бы несоответствие. В итоге код выглядел полностью функциональным, но оказался небезопасно сконфигурированным.
И хотя отчет основан на одном конкретном примере, Хан считает, что проблема шире. Он просмотрел 1645 приложений, созданных через Lovable, и заявил, что в 170 из них присутствуют критические ошибки. Сгенерированные ИИ решения он охарактеризовал как риск, а не как удобный короткий путь, поскольку результат может выглядеть правильным, успешно выполняться и выдавать «отполированный» интерфейс, не обеспечивая должной защиты.
Отдельно эксперт упомянул идею «виртуального взлома»: менее подготовленные злоумышленники способны использовать ИИ-код, потому что по умолчанию он чаще ориентирован на работоспособность, а не на безопасность. В связи с этим он призвал платформы вроде Lovable активнее сканировать публикуемые приложения и закладывать более строгие настройки защиты по умолчанию, а разработчикам напомнил простое правило: если код работает, это еще не значит, что он безопасен.
Со своей стороны представитель Lovable отметил, что каждый проект перед публикацией получает бесплатную проверку безопасности, однако выполнение рекомендаций, как подчеркнули в компании, остается на усмотрение самого разработчика.
