- Um aplicativo desenvolvido pela Lovable tinha 6 vulnerabilidades críticas e mais 10
- Dos 1.645 aplicativos do Lovable, 170 apresentavam bugs graves
- O código AI pode estar correto e funcionar, mas pode não ser seguro
A plataforma de codificação Lovable Vibe foi acusada de hospedar aplicativos inseguros depois que o pesquisador de segurança Taimur Khan encontrou um aplicativo apresentado pela Lovable (EdTech) como tendo 16 vulnerabilidades, seis delas graves.
Khan explicou como o aplicativo mostrou mais de 18.000 registros de usuários, incluindo professores e alunos das principais universidades e faculdades.
Devido a controles de acesso defeituosos, qualquer pessoa pode visualizar todos os dados do usuário, excluir contas, alterar saldos de crédito, enviar e-mails e avaliar cursos e envios sem realmente fazer login.
18.000 foram afetados pela vulnerabilidade exposta do aplicativo amoroso
De acordo com Khan, a falha principal foi um simples erro lógico. “A lógica diz: se você for um usuário logado, negue o acesso”, escreveu ele. O bug “pode ter escapado da geração de código de IA sem a revisão adequada”, escreveu ele, observando que um revisor humano provavelmente teria detectado o bug (ou nem mesmo o teria detectado).
O código de back-end gerado pela IA parecia totalmente funcional, mas não foi configurado de forma segura.
Embora este relatório se refira apenas a um aplicativo Lovable, Khan está preocupado com a possibilidade de erros semelhantes ocorrerem de forma mais ampla. “Um pesquisador de segurança examinou 1.645 aplicativos desenvolvidos com Lovable e descobriu que 170 deles apresentavam falhas graves”, escreveu Khan.
Ele descreveu o código gerado por IA como “perigoso”, não um “atalho”, e criticou o código vibratório por gerar resultados que parecem corretos, são executados com êxito e retornam interfaces de usuário de aparência sofisticada, sem necessariamente serem seguros.
Além disso, Khan introduziu o conceito de “vibe hacking”, por meio do qual hackers de baixa tecnologia são capazes de explorar código gerado por IA “onde o código gerado por IA prioriza a funcionalidade em detrimento da segurança”.
Reconhecendo o papel que a codificação Vibe desempenha na indústria, ela convocou plataformas como a Lovable para verificar aplicativos e criar padrões de segurança mais fortes em código gerado por IA. Os desenvolvedores devem implementar análises de segurança apropriadas e lembrar que só porque o código funciona, ele pode não ser seguro.
“Qualquer projeto construído com Lovable inclui uma verificação de segurança gratuita antes da publicação”, acrescentou um porta-voz da Lovable (via registro), reconhecendo que é responsabilidade do desenvolvedor implementar as recomendações do Lovable.
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
