- Kecelakaan data baru-baru ini yang terjadi di Lovable mengingatkan akan risiko keamanan pengkodean getaran.
- Kelemahan keamanan dalam sistem Lovable memungkinkan akses ke data pengguna dan memicu reaksi online.
- Lovable bersaing dengan startup lain dan laboratorium besar yang mengembangkan alat pengkodean AI.
Kegagalan keamanan Lovable baru-baru ini memberikan satu alasan lagi bagi para insinyur perangkat lunak profesional untuk melakukan hal tersebut berhati-hatilah dengan pengkodean getaran.
Pada hari Senin, pengguna X disebut Lovable dan mengatakan bahwa startup pengkodean AI asal Swedia mengalami pelanggaran data massal “yang memengaruhi setiap proyek yang dibuat sebelum November 2025.”
Individu tersebut, yang menggunakan nama pengguna “Impulsif” di X, mengatakan bahwa mereka dapat mengakses kode pengguna lain, riwayat obrolan AI, dan data pelanggan melalui akun Lovable gratis mereka.
“Karyawan Nvidia, Microsoft, Uber, dan Spotify semuanya memiliki akun. Bug tersebut dilaporkan 48 hari yang lalu. Ini belum diperbaiki. Mereka menandainya sebagai duplikat dan membiarkannya terbuka,” tulis mereka.
Di dalam tanggapanLovable membantah adanya pelanggaran data dan mengatakan bahwa melihat kode proyek publik adalah keputusan yang disengaja.
Setelah mendapat reaksi keras dari X tentang kejelasan pesan dan bagaimana pengguna harus mengamankan data mereka ke depannya, Lovable membagikan a pernyataan kedua.
Perusahaan menjelaskan bahwa mereka mengizinkan orang lain untuk melihat proyek “publik” “untuk memudahkan menjelajahi apa yang sedang dibangun orang lain.” Ia menambahkan bahwa sejak Desember, visibilitas publik telah dinonaktifkan secara default di semua tingkatan langganan.
Dalam pernyataan kedua, Lovable juga mengakui kesalahan keamanan yang pertama kali ditandai oleh postingan X asli.
“Sayangnya, pada bulan Februari, saat menyatukan izin di backend kami, kami secara tidak sengaja mengaktifkan kembali akses ke obrolan di proyek publik,” tulis Lovable. “Setelah mengetahui hal ini, kami segera mengembalikan perubahan untuk menjadikan semua obrolan proyek publik menjadi pribadi lagi. Kami menghargai para peneliti yang mengungkap hal ini.”
Beberapa pengguna mengatakan mereka menghargai transparansi Lovable, sementara yang lain mengatakan pesan pertama perusahaan itu mirip dengan “gaslighting”.
Tom Van de Wiele, pendiri perusahaan keamanan Hacker Minded, mengatakan kepada Business Insider bahwa insiden tersebut adalah “contoh buruk lainnya dari kurangnya default yang aman dan kegagalan model ancaman di era otomatisasi dan AI.”
Dia menambahkan bahwa mengandalkan pengguna untuk memahami apa yang bersifat publik dan apa yang tidak “selalu gagal pada akhirnya”.
Jake Moore, penasihat keamanan siber global di ESET, mengatakan perdebatan mengenai apakah insiden tersebut memenuhi syarat sebagai pelanggaran berisiko mengabaikan masalah yang lebih besar.
“Ini sebenarnya bukan pelanggaran biasa tapi juga tidak berbahaya,” katanya kepada Business Insider. “Ini pada dasarnya lebih merupakan cacat desain, karena datanya terekspos dan bukannya diretas.”
“Ketika sebuah perusahaan memperdebatkan semantik dan bukan dampak, biasanya itu berarti keamanan tidak diterapkan sejak hari pertama, dan itulah kenyataannya yang menyebabkan hal ini,” tambahnya.
Sebuah trade-off
Secara umum, pengembang profesional tidak menyarankan hal ini ketergantungan yang berlebihan pada AI karena dapat menghasilkan kode yang berantakan dan belum teruji. Mereka mengatakan pengkodean getaran disertakan masalah keamanan informasitermasuk data perusahaan yang terungkap.
Van de Wiele mengatakan perusahaan yang membuat alat-alat ini sering kali menghadapi trade-off antara membuat produk mudah digunakan dan menjaga keamanannya – namun hal ini tidak menjadi alasan lemahnya perlindungan.
“Perusahaan sering kali terjebak dalam situasi yang sulit, ingin mengurangi gesekan bagi pengguna baru sambil mencoba melindungi dari pengikis data,” katanya, seraya menambahkan bahwa ada konsekuensi nyata bagi pengguna yang informasinya mungkin diambil dan dijual kembali.
Moore mengatakan alat pengkodean getaran dapat memperburuk risiko ini jika pengguna tidak sepenuhnya memahami apa yang diekspos.
“Vibe coding terus mempercepat terjadinya default yang buruk dan pengguna harus secara eksplisit menyadari hal ini dan memiliki brankas serta cadangan,” katanya.
Dinamika ini bisa membuat insiden seperti ini lebih sering terjadi, sarannya.
“Jika pengguna secara tidak sengaja dapat mengekspos data sensitif melalui default pengkodean AI, penyerang tidak perlu meretas apa pun,” kata Moore.
Serangkaian kecelakaan keamanan
Kesalahan Lovable terjadi setelah dua kesalahan lainnya kebocoran data besar dari perusahaan AI dalam beberapa minggu terakhir.
Pada akhir Maret, Anthropic keliru membocorkan arsip dari hampir 2.000 file dan 500.000 baris kode. Anthropic mengatakan pada saat itu bahwa “tidak ada data sensitif atau kredensial pelanggan yang terlibat atau terekspos.”
Awal pekan ini, platform hosting situs web Vercel mengatakan telah mengidentifikasi insiden yang memberikan pengguna tidak sah akses ke sistem internal Vercel tertentu.
Vercel mengatakan insiden itu bermula dari peretasan Context.ai, alat pihak ketiga yang digunakan oleh karyawan Vercel. Penyerang menggunakan akses tersebut untuk mengambil alih akun Google Workspace karyawan tersebut, yang juga memberi mereka akses ke beberapa lingkungan Vercel.
“Kami sedang menyelidiki secara aktif, dan kami telah melibatkan para ahli respons insiden untuk membantu menyelidiki dan memulihkan. Kami telah memberi tahu penegak hukum dan akan memperbarui halaman ini seiring dengan kemajuan penyelidikan,” kata Vercel dalam sebuah pernyataan pada hari Senin.
Pada podcast bulan Februari, Andreessen Horowitz mitra umum Anish Acharya mengatakan perusahaan tidak boleh menggunakan pengkodean berbantuan AI untuk setiap bagian bisnisnya karena tidak sebanding dengan risikonya. Ditambah lagi, mengandalkan AI untuk menulis kode membawa risiko, katanya.
