Les entreprises découvrent un problème alarmant avec le 'codage d'ambiance'

31/05/2025 14:30

Technology Business Security AI Coding Vibe Coding
Companies Are Discovering a Grim Problem With "Vibe Coding"

Les entreprises découvrent un problème alarmant avec le 'codage d'ambiance'

Lovable, une application de 'codage d'ambiance' permettant à presque n'importe qui de créer des sites web et des applications en utilisant le langage naturel grâce à l'intelligence artificielle, présente une faille de sécurité majeure. Comme le rapporte Semafor, cette vulnérabilité critique reste non corrigée depuis des mois, exposant des informations sensibles des utilisateurs, y compris leurs noms, adresses e-mail et données financières. En mars, Matt Palmer, employé chez Replit, a révélé que 170 des 1 645 applications créées avec Lovable souffraient de la même faille, facilitant le vol de données par des hackers. Malgré l'introduction d'un 'scanner de sécurité', celui-ci ne vérifie pas l'exactitude des politiques de sécurité, offrant ainsi une fausse impression de protection. La sécurité au niveau des lignes (RLS), qui contrôle l'accès aux données par ligne dans une base de données, n'est pas correctement implémentée. Palmer et son équipe ont découvert les adresses e-mail de 500 utilisateurs d'un site créé avec Lovable transformant un profil LinkedIn en page web. Daniel Asaria, ingénieur logiciel, a affirmé avoir infiltré plusieurs sites 'top lancés' de Lovable, extrayant des dettes personnelles, adresses domiciliaires, clés API et 'invitations sensibles' en seulement 47 minutes. 'Ce n'est pas une histoire de violation (je l'ai signalée), c'est un signal d'alarme', a tweeté Asaria en avril. Après trois mois sans réponse de Lovable, Palmer a rendu publique la faille sur la National Vulnerabilities Database. Simon Willison, développeur chevronné, a souligné que le 'codage d'ambiance' pose un défi majeur en matière de sécurité. Anton Osika, fondateur de Lovable, a accusé le PDG de Replit, Amjad Masad, d'être jaloux de leur succès. Les experts alertent depuis des années sur les risques des outils de codage IA, qui peuvent introduire des erreurs facilement ignorées. Lovable a répondu sur X (ex-Twitter), affirmant avoir amélioré la sécurité de ses applications, tout en reconnaissant qu'il reste du travail à faire.

Các công ty phát hiện vấn đề nghiêm trọng với 'lập trình theo cảm hứng'

Lovable, một ứng dụng 'lập trình theo cảm hứng' cho phép hầu như bất kỳ ai cũng có thể xây dựng trang web và ứng dụng bằng ngôn ngữ tự nhiên nhờ trí tuệ nhân tạo, đang đối mặt với lỗ hổng bảo mật nghiêm trọng. Theo báo cáo từ Semafor, lỗ hổng này tồn tại hàng tháng mà chưa được khắc phục, khiến thông tin nhạy cảm của người dùng như tên, email và dữ liệu tài chính có nguy cơ bị đánh cắp. Vào tháng 3, Matt Palmer, nhân viên tại công ty trợ lý lập trình AI Replit, đã phát hiện 170 trong số 1.645 ứng dụng web tạo bởi Lovable mắc cùng một lỗi bảo mật, tạo điều kiện cho hacker dễ dàng tiếp cận thông tin. Dù Lovable sau đó ra mắt 'scanner bảo mật', công cụ này chỉ kiểm tra sự tồn tại của chính sách bảo mật mức dòng (RLS) mà không đánh giá tính chính xác, dẫn đến cảm giác an toàn giả tạo. RLS là phương pháp kiểm soát truy cập dữ liệu theo từng dòng trong cơ sở dữ liệu, đảm bảo người dùng chỉ truy cập được dữ liệu được phép. Palmer và đồng nghiệp đã tìm thấy email của khoảng 500 người dùng một trang web tạo bởi Lovable, biến hồ sơ LinkedIn thành trang cá nhân. Kỹ sư phần mềm Daniel Asaria tiết lộ chỉ trong 47 phút, anh có thể xâm nhập nhiều trang web 'hàng đầu' của Lovable, lấy được số nợ cá nhân, địa chỉ nhà, khóa API và 'gợi ý nhạy cảm'. 'Đây không phải là tin tức về rò rỉ dữ liệu (tôi đã báo cáo), mà là hồi chuông cảnh tỉnh', Asaria tweet vào tháng 4. Sau ba tháng Lovable không có biện pháp khắc phục hoặc thông báo cho người dùng, Palmer công bố lỗ hổng trên Cơ sở dữ liệu lỗ hổng quốc gia. Simon Willison, lập trình viên kỳ cựu, nhận định đây là thách thức lớn nhất của 'lập trình theo cảm hứng'. Anton Osika, nhà sáng lập Lovable, lại cho rằng CEO Replit Amjad Masad chỉ đố kỵ vì bị vượt mặt về 'mức độ sử dụng và tính bảo mật'. Các chuyên gia từ lâu đã cảnh báo công cụ lập trình AI dễ gây ra lỗi khó phát hiện. Lovable sau đó lên tiếng trên X (trước là Twitter), khẳng định đã cải thiện đáng kể tính bảo mật so với vài tháng trước, nhưng vẫn cần nỗ lực hơn nữa.

Retour Source originale

Articles connexes

Roku TV acting up? This 30-second fix will make your system run like new again
Votre Roku TV plante ? Cette solution de 30 s...

02/06/2025

Lire plus
New federal employees must praise Trump EOs, submit to continuous vetting
Nouvelle politique controversée de recrutemen...

02/06/2025

Lire plus
5 ChatGPT Prompts To Make LinkedIn Your Number One Lead Machine
5 Requêtes ChatGPT pour Transformer LinkedIn ...

02/06/2025

Lire plus
Latest AirPods Pro 2 feature is ahead of its time in the best way
La dernière fonctionnalité des AirPods Pro 2 ...

02/06/2025

Lire plus
Why I'm done with Firefox for good - and which browser I'm using instead
Pourquoi j'abandonne définitivement Firefox -...

02/06/2025

Lire plus
Tom Homan: Trump admin will deport 'as many as we can' following Supreme Court ruling on Venezuelan migrants
Tom Homan : L'administration Trump promet d'e...

20/05/2025

Lire plus