- Satu aplikasi yang dibuat oleh Lovable menyertakan 6 kerentanan kritis, dan 10 lainnya
- 170 dari 1.645 aplikasi Lovable ditemukan memiliki kelemahan kritis
- Kode AI mungkin terlihat benar dan berfungsi, namun mungkin tidak aman
Platform pengkodean getaran Lovable dituduh menghosting aplikasi yang tidak aman setelah peneliti keamanan Taimur Khan menemukan satu aplikasi yang dipamerkan Lovable (EdTech) mengandung 16 kerentanan, enam di antaranya kritis.
Khan menguraikan bagaimana aplikasi tersebut mengungkap lebih dari 18.000 catatan pengguna, termasuk guru dan siswa dari universitas dan sekolah besar.
Karena kontrol akses yang salah, siapa pun dapat melihat semua data pengguna, menghapus akun, mengubah saldo kredit, mengirim email massal dan mengakses kursus serta menilai penyerahan tanpa benar-benar masuk.
Kerentanan aplikasi yang ditampilkan dengan menarik memengaruhi 18.000+ orang
Menurut Khan, bug intinya adalah kesalahan logika sederhana. “Logikanya mengatakan: jika Anda adalah pengguna yang login, tolak akses,” katanya menulis. Bug tersebut “mungkin lolos dari pembuatan kode AI tanpa peninjauan yang tepat,” tulisnya, yang menunjukkan bahwa peninjau manusia kemungkinan besar telah menangkap (atau bahkan tidak memperkenalkan) kesalahan tersebut.
Kode backend yang dihasilkan AI tampak berfungsi sepenuhnya, namun belum dikonfigurasi dengan aman.
Meskipun laporan ini hanya berkaitan dengan satu aplikasi Lovable, Khan khawatir kesalahan serupa dapat terjadi secara lebih luas. “Seorang peneliti keamanan memindai 1.645 aplikasi yang dibuat dengan Lovable dan menemukan 170 di antaranya memiliki kelemahan kritis,” tulis Khan.
Dia menggambarkan kode yang dihasilkan AI sebagai sebuah “risiko”, bukan “jalan pintas”, mengkritik kode getaran karena menghasilkan keluaran yang terlihat benar, dijalankan dengan sukses, dan mengembalikan antarmuka pengguna yang tampak sempurna tanpa harus aman.
Selain itu, Khan memperkenalkan konsep ‘peretasan getaran’, di mana peretas yang kurang berpikiran teknis dapat mengeksploitasi kode yang dihasilkan AI dengan dasar bahwa “kode yang dihasilkan AI lebih mengutamakan fungsionalitas daripada keamanan.”
Menyadari peran pengkodean getaran dalam industri ini, ia menyerukan platform seperti Lovable untuk memindai aplikasi dan membangun standar keamanan yang lebih kuat ke dalam kode yang dihasilkan AI. Pengembang harus menerapkan tinjauan keamanan yang tepat dan ingat bahwa, hanya karena kode berfungsi, kode tersebut mungkin tidak aman.
“Setiap proyek yang dibangun dengan Lovable mencakup pemindaian keamanan gratis sebelum dipublikasikan,” tambah juru bicara Lovable (via Daftar), mengakui bahwa penerapan rekomendasi Lovable merupakan kebijaksanaan pengembang.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
