Lovable : La face cachée du “vibe coding” et les risques pour vos données
La plateforme de codage assistée par IA Lovable est sous le feu des critiques après la découverte de failles de sécurité majeures dans une application hébergée sur sa plateforme. L’incident, révélé par l’entrepreneur technologique Taimur Khan, met en lumière les défis de la sécurité dans l’ère du “vibe coding” et soulève des questions cruciales sur la responsabilité des plateformes comme Lovable.
Une application vulnérable expose les données de 18 000 utilisateurs
Taimur Khan a identifié 16 vulnérabilités, dont six considérées comme critiques, dans une application Lovable. Cette application, qui avait déjà attiré plus de 100 000 vues et 400 votes positifs, a exposé les données de plus de 18 000 utilisateurs. Parmi eux, des étudiants et des enseignants de prestigieuses universités américaines comme l’UC Berkeley et l’UC Davis, ainsi que des mineurs.
Le problème : une authentification inversée et des backends Supabase mal configurés
La principale vulnérabilité réside dans la manière dont l’IA a codé le backend de l’application, en utilisant Supabase pour l’authentification, le stockage de fichiers et les mises à jour en temps réel. L’IA a implémenté une logique de contrôle d’accès défectueuse, bloquant les utilisateurs authentifiés tout en autorisant l’accès aux utilisateurs non authentifiés. En d’autres termes, le système de sécurité était “à l’envers”.
Lovable se défausse de sa responsabilité
Initialement, Lovable a affirmé que les utilisateurs étaient responsables de la résolution des problèmes de sécurité signalés avant la publication. Cette position a suscité l’indignation, Khan estimant que Lovable, en tant que plateforme hébergeant et promouvant ces applications, avait une responsabilité en matière de sécurité. Il a également déploré la fermeture de son ticket de signalement sans réponse.
La réponse de Lovable et les analyses de sécurité
Lovable a déclaré avoir contacté le propriétaire de l’application et prendre la découverte “très au sérieux”. La société affirme fournir une analyse de sécurité gratuite avant la publication, mais souligne que la mise en œuvre des recommandations reste à la discrétion de l’utilisateur. Cependant, dans ce cas, les recommandations n’ont pas été suivies.
Cet incident s’inscrit dans un contexte plus large de préoccupations concernant la sécurité du code généré par l’IA. Veracode a récemment révélé que 45 % du code généré par l’IA contient des failles de sécurité. D’autres incidents, comme la génération de rapports de bugs à des fins lucratives ou des erreurs catastrophiques dans les instructions, ont également été signalés.
Les implications pour l’avenir du “vibe coding”
Ce cas souligne la nécessité d’une approche plus rigoureuse de la sécurité dans le contexte du “vibe coding”. Il est crucial que les plateformes comme Lovable assument une plus grande responsabilité dans la vérification de la sécurité des applications qu’elles hébergent. Cela pourrait inclure des analyses de sécurité plus approfondies, des outils de correction automatique des vulnérabilités et une meilleure formation des utilisateurs sur les bonnes pratiques de sécurité.
FAQ : Les questions que vous vous posez
- Le “vibe coding” est-il dangereux ? Le “vibe coding” n’est pas intrinsèquement dangereux, mais il présente des risques de sécurité si les applications générées ne sont pas correctement vérifiées.
- Lovable est-elle responsable de la sécurité des applications hébergées ? Lovable affirme que la responsabilité finale incombe à l’utilisateur, mais de nombreux experts estiment qu’elle a un rôle à jouer dans la garantie de la sécurité.
- Comment puis-je me protéger contre les applications vulnérables ? Soyez prudent lorsque vous utilisez des applications générées par l’IA et vérifiez toujours les autorisations demandées.
L’avenir du “vibe coding” dépendra de notre capacité à relever ces défis de sécurité. Il est essentiel de trouver un équilibre entre l’innovation et la protection des données, afin de garantir que cette technologie prometteuse puisse bénéficier à tous sans compromettre la sécurité.
Quelles sont vos réflexions sur cet incident ? Partagez votre avis dans les commentaires ci-dessous et découvrez d’autres analyses sur les dernières tendances technologiques sur nouvelles-du-monde.com.
