Lovable platformunda barındırılan bir uygulamada tespit edilen ciddi güvenlik açıkları, 18.000'den fazla kullanıcının verilerini riske attı. Yazılım mühendisliği geçmişine sahip Taimur Khan, "vibe-coding" yöntemiyle geliştirilen bu uygulamada 16 farklı güvenlik açığı buldu; bunların altısı kritik düzeydeydi. Khan, uygulamanın adını açıklamazken, Lovable'ın Keşfet sayfasında sergilenen ve 100.000'den fazla görüntülemeye sahip bir uygulama olduğunu belirtti. Bu durum, platformların güvenlik sorumluluğunu kullanıcılara yüklemesi tartışmasını yeniden gündeme getirdi.
Sorunun temelinde, Lovable platformunda geliştirilen tüm uygulamaların Supabase tarafından desteklenen arka uçlarla (backend) gelmesi yatıyor. Supabase, kimlik doğrulama, dosya depolama ve gerçek zamanlı güncellemeler gibi işlevleri yönetiyor. Ancak, yapay zeka veya insan proje sahibinin Supabase'in satır düzeyinde güvenlik (row-level security) ve rol tabanlı erişim (role-based access) gibi kritik güvenlik özelliklerini açıkça uygulamaması durumunda, işlevsel görünen ancak kusurlu kodlar üretiliyor. Khan, hatalı bir kimlik doğrulama fonksiyonunu örnek göstererek, AI tarafından üretilen kodun, kimliği doğrulanmış kullanıcıları engelleyip kimliği doğrulanmamış kullanıcılara erişim sağladığını belirtti. Bu mantık hatası, insan güvenlik incelemesinin saniyeler içinde yakalayabileceği bir durumdu.
Bu güvenlik açıkları sayesinde, kimliği doğrulanmamış bir saldırgan, 18.697 kullanıcı kaydının tamamına kolayca erişebilir, platform üzerinden toplu e-postalar gönderebilir, herhangi bir kullanıcı hesabını silebilir ve öğrenci sınav notlarını değiştirebilirdi. Açığa çıkan 14.928 benzersiz e-posta adresinin yanı sıra, aralarında ABD'nin önde gelen üniversitelerinden ve K-12 kurumlarından öğrencilerin de bulunduğu 4.538 öğrenci hesabı ve tam kişisel bilgilerinin (PII) ifşa olduğu 870 kullanıcı vardı. Khan, bu tür güvenlik zafiyetlerinin sadece Lovable'a özgü olmadığını, genel bir sorun olduğunu vurguladı.
Yapay zeka destekli kod üretiminin güvenlik açıklarına yol açabileceği ve platformların kullanıcı verilerini koruma sorumluluğunu üstlenmesi gerektiği bir kez daha ortaya çıktı.