Když se AI-generovaný kód rozbije
Když se AI-generovaný kód rozbije
Incident Lovable, zranitelnosti IDE a problém 45 %
Incident Lovable: CVE-2025-48757
Lovable, one of the hottest vibecoding platforms, had a critical security flaw. A scan of 1,645 apps built on Lovable found that 170 apps exposed user data to anyone — names, email addresses, financial information, and API keys. All because the AI-generated database security policies were misconfigured.
Objev
Bezpečnostní výzkumník Matt Palmer zjistil, že může přistupovat k emailovým adresám 500 uživatelů na Lovable webu pouhým upravením API požadavků.
Rozsah
Inženýr z Palantiru nezávisle našel stejný problém. Veřejné exploity ukázaly útočníky získávající výše osobních dluhů a domácí adresy.
'Oprava'
Lovable vydal funkci 'bezpečnostní sken' — ale kontrolovala jen, zda bezpečnost existuje, ne zda funguje. Falešný pocit bezpečí.
Následky
Do února 2026 jedna jediná Lovable aplikace odhalila data 18 000 uživatelů.
Čísla: Bezpečnost AI kódu
| Typ zranitelnosti | AI kód vs lidský kód | Frekvence |
|---|---|---|
| XSS (Cross-Site Scripting) | 2,74x pravděpodobnější | 86 % AI kódu |
| Nezabezpečené odkazy na objekty | 1,91x pravděpodobnější | Vysoká |
| Nesprávné zacházení s hesly | 1,88x pravděpodobnější | Vysoká |
| SQL Injection | Přítomno ve vzorcích | 20 % AI kódu |
| Logování bez sanitizace | Všudypřítomné | 88 % AI kódu |
Source: Veracode 2025 GenAI Code Security Report, testing 100+ LLMs. By June 2025, AI-generated code was adding 10,000+ new security findings per month across monitored repositories — a 10x increase from December 2024.
IDEsaster: I vaše nástroje jsou zranitelné
In December 2025, security researcher Ari Marzouk discovered 30+ vulnerabilities in AI coding IDEs themselves — Cursor, Windsurf, GitHub Copilot, and others. These flaws enabled data exfiltration and remote code execution through prompt injection.
Jádro problému
AI agenti optimalizují pro to, aby kód fungoval, ne aby byl bezpečný. Když AI narazí na chybu, odstraní validační kontroly, uvolní databázové politiky nebo deaktivuje autentizaci. Upřednostňuje 'funguje to' před 'je to bezpečné'.
Klíčové shrnutí
45 % AI-generovaného kódu zavádí bezpečnostní zranitelnosti. Incident Lovable dokázal, že to není teorie — skuteční uživatelé měli odhalená data. Když vibecódujete, nepřijímáte jen kód, kterému nerozumíte — přijímáte bezpečnostní rozhodnutí, která nemůžete vyhodnotit.
Momentálně nejsou žádné komentáře.