Yapay zekâ ile geliştirilen uygulamalardaki güvenlik açıkları tartışma yarattı Vibe-coding platformu Lovable, kullanıcıların yayınlama öncesinde işaret edilen güvenlik sorunlarını gidermekten sorumlu olduğunu belirtmesinin ardından, ciddi açıklar barındıran uygulamalara ev sahipliği yapmakla suçlanıyor. Yazılım mühendisliği geçmişi olan teknoloji girişimcisi Taimur Khan, platform üzerinde barındırılan ve 18.000'den fazla kişinin verisini sızdıran tek bir uygulamada 16 güvenlik açığı tespit etti. Khan, bu açıkların altısını kritik seviyede olarak tanımlıyor. İfşa sürecinde uygulamanın adını açıklamayı reddeden Khan, söz konusu yazılımın Lovable'ın Discover sayfasında sergilendiğini belirtiyor. İnceleme başladığında uygulama 100.000'den fazla görüntüleme almış ve yaklaşık 400 beğeni toplamıştı. Sorunun temelinde, Lovable platformunda geliştirilen uygulamaların arka uç işlemlerinin kimlik doğrulama, dosya depolama ve gerçek zamanlı güncellemeleri yöneten Supabase tarafından desteklenmesi yatıyor. Yapay zekâ hataları ve güvenlik riskleri Yapay zekâ veya insan proje sahibi, Supabase'in satır düzeyi güvenliği ve rol tabanlı erişim gibi kritik güvenlik özelliklerini açıkça uygulamadığında, kod işlevsel görünse de aslında kusurlu şekilde üretiliyor. Bunun bir örneği olarak hatalı yapılandırılmış kimlik doğrulama işlevi gösteriliyor. Arka ucu kodlayan yapay zekâ, erişim kontrol mantığını hatalı kurarak kayıtlı kullanıcıları engellerken, kimliği doğrulanmamış kişilere erişim izni verdi. Khan, temel amacın yönetici olmayanların belirli bölümlere erişimini engellemek olduğunu ancak hatalı uygulamanın tüm giriş yapmış kullanıcıları engellediğini vurguluyor. Khan durumu şu sözlerle özetliyor: "Bu tam tersi bir durum. Muhafız, izin vermesi gereken kişileri engelliyor ve engellemesi gereken kişilere izin veriyor. Bir insan güvenlik denetçisinin saniyeler içinde fark edeceği klasik bir mantık tersyüzü; ancak 'çalışan kod' için optimize edilen bir yapay zekâ kod üreteci, bunu üretip yayına aldı." Sızan verilerin kapsamı ve kullanıcı profili Söz konusu uygulama sınav soruları oluşturma ve not görüntüleme platformu olduğu için kullanıcı kitlesi öğretmenler ve öğrencilerden oluşuyor. Kullanıcılar arasında UC Berkeley ve UC Davis gibi prestijli ABD üniversitelerinin yanı sıra reşit olmayanların bulunduğu ilk ve orta öğretim kurumları da yer alıyor. Mevcut güvenlik açıkları nedeniyle, saldırganlar tüm kullanıcı kayıtlarına erişebilir, toplu e-posta gönderebilir, hesap silebilir veya öğrencilerin sınavlarını notlandırabilir hale geldi. Veri Kategorisi Miktar / Sayı Toplam İfşa Olan Kullanıcı Kaydı 18.697 Benzersiz E-posta Adresi 14.928 Öğrenci Hesapları 4.538 Kurumsal Kullanıcılar 10.505 Tam Kişisel Verisi İfşa Olanlar 870 Sorumluluk tartışmaları ve platformun yanıtı Yapay zekâ tarafından üretilen kodların %45'inin güvenlik kusurları içerdiğine dair veriler paylaşılırken, Khan platformun bu konuda sorumluluk alması gerektiğini savunuyor. Bulgularını şirket desteğine bildirdiğinde talebinin yanıt verilmeden kapatıldığını iddia eden Khan, "Lovable kendisini kimlik doğrulaması 'dahil' üretime hazır uygulamalar üreten bir platform olarak pazarlayacaksa, ürettiği ve tanıttığı uygulamaların güvenlik duruşu için bir miktar sorumluluk taşır" diyor. Lovable CISO'su Igor Andriushchenko, düzgün bir ifşa raporunun kendilerine 26 Şubat akşamı ulaştığını ve dakikalar içinde harekete geçtiklerini belirtiyor. Her projenin yayınlanmadan önce ücretsiz bir güvenlik taramasından geçtiğini söyleyen Andriushchenko süreci şu şekilde açıklıyor: "Bu tarama açıklar için kontrol yapar ve bulunursa yayınlamadan önce çözülmesi gereken eylemler hakkında öneriler sunar. Nihayetinde bu önerileri uygulamak kullanıcının takdirindedir. Bu vakada uygulama gerçekleşmedi. Bu proje ayrıca Lovable tarafından üretilmeyen kodlar içeriyor ve savunmasız veritabanı Lovable tarafından barındırılmıyor. Sorunu şu an çözen uygulama oluşturucusuyla iletişim halindeyiz."
