Lovable и „vibe coding“: когато удобството отваря вратата към пробив
Един акаунт, пет API заявки и достъп до чужд код, бази данни и чатове с чувствителна информация. Това не е сценарий от CTF, а реален случай с Lovable – платформа за т.нар. vibe coding, оценена на $6.6 млрд. и използвана от екипи в компании като Microsoft и Nvidia. Случаят се превърна в показателен пример как лошо архитектурно решение избор може да прерасне в сериозен пробив в киберсигурността.
Достъп „по дизайн“
Изследовател с псевдоним @weezerOSINT демонстрира, че чрез стандартен безплатен акаунт може да се достъпят:
- сорс код на проекти
- database credentials
- AI чатове с бизнес логика и PII
- реални потребителски данни
Достъпът идва без експлойт или сложна атака – достатъчни са няколко API заявки. Част от засегнатите проекти включват реални организации, с данни за служители и партньори.
Къде е проблемът
Lovable първоначално отрича пробив, обяснявайки, че видимостта е резултат от „public“ настройки. По-късно признава, че документацията е създала объркване и че част от поведението е било „по дизайн“.
„Потребителите споделят какво изграждат, логове, credentials – всичко се съхранява и е било достъпно“, описва изследователят.
Домино ефект в киберсигурността
Този случай показва как една UX концепция може да отключи домино ефект:
- „Public“ означава повече от планираното
- AI чатове се превръщат в източник на чувствителни данни
- credentials попадат в сорс код и логове
- достъпът става масов, а не таргетиран
В резултат, границата между удобство и хак се размива – особено в платформи, които насърчават бързо разработване чрез AI.
Реакцията: урок как комуникацията усилва риска
Lovable преминава през три фази:
- първоначално отричане
- прехвърляне към документация и партньори
- частично признание и корекция
Този модел се повтаря и при други AI платформи, където скоростта на иновация изпреварва зрелостта на сигурността. Подобни реакции увеличават репутационния риск, особено при платформи с enterprise потребители.
Предвид, че и в България масово се използват AI инструменти за ускоряване на разработката – от стартиращи компании до корпоративни IT отдели, този случай трябва да ви накара да си зададете прост въпрос:
Къде свършва продуктивността и започва рискът?
При работа с външни AI платформи, често се споделят:
- вътрешна архитектура
- логове от продукционна среда
- ключове и достъпи
Това превръща подобни инциденти в директно релевантни за локалния пазар.
Заключение: малки решения, големи последствия
Случаят с Lovable показва, че пробивите в киберсигурността рядко започват като „атака“. Често започват като продуктово решение, което изглежда логично в началото.
Основните изводи:
- ясните дефиниции на „public“ и „private“ са критични
- AI инструментите съхраняват повече контекст, отколкото изглежда
- малки UX решения могат да имат системен ефект
Темата остава отворена, особено за организации, които интегрират AI в ежедневната си работа. Ако подобни процеси са част от вашата среда, разговорът за сигурността им тепърва започва.