TECNOLOGIA

48 días de proyectos abiertos, informes de errores cerrados y fallas estructurales de seguridad de codificación de Vibe

Foto de Redacción - ACN Redacción - ACN Enviar un correo electrónico 3 horas hace
0 3 7 minutos de lectura

Resumen: Loveable, la plataforma de codificación Vibe de 6.600 millones de dólares con 8 millones de usuarios, ha experimentado tres incidentes de seguridad documentados que exponen el código fuente, las credenciales de la base de datos y miles de registros de usuarios, el más reciente de los cuales fue la vulnerabilidad BOLA, que permaneció abierta durante 48 días después de que el informe de recompensas por errores de la compañía se cerrara sin aumento. Los hechos representan un problema estructural en toda la codificación de Vibe: entre el 40% y el 62% del código generado por IA tiene vulnerabilidades, el 91,5% de las aplicaciones codificadas por Vibe tenían al menos una falla relacionada con alucinaciones de IA en el primer trimestre de 2026, y la estructura de incentivos del mercado recompensa, mientras que el 6% de todos los proyectos de generación de códigos dependen de la seguridad en más del 6% de los nuevos proyectos para fin de año..

Loveable, la plataforma de codificación Vibe valorada en 6.600 millones de dólares por ocho millones de usuarios, ha lidiado con incidentes de seguridad en los últimos dos meses que expusieron colectivamente el código fuente, las credenciales de la base de datos, el historial de chat de IA y los datos personales de miles de usuarios en todos los proyectos creados en su plataforma. La divulgación más reciente, publicada el 20 de abril por un investigador de seguridad, reveló una vulnerabilidad de autorización a nivel de objeto rota en la API de Lovable que permitía a otros usuarios con cuentas gratuitas acceder a hasta cinco llamadas API a sus perfiles, proyectos públicos, código fuente y credenciales de base de datos. El investigador informó la falla al programa de recompensas por errores de Loveable el 3 de marzo. Lovable lo parchó para nuevos proyectos pero nunca lo arregló para los existentes, marcó un informe de seguimiento como duplicado y lo cerró. Al momento del informe, la vulnerabilidad permaneció abierta durante 48 días.

La respuesta de Loveable siguió un patrón que los investigadores de seguridad han encontrado más revelador que la vulnerabilidad. La compañía publicó por primera vez en X que "no había sufrido una violación de datos", calificando los datos expuestos como "comportamiento intencional". Luego culpó a su propia documentación que decía "¿quépúblico"debería"no estaba claro" Luego culpó a su socio de recompensas por errores HackerOne, diciendo que los informes eran "Cerrado sin escalamiento porque nuestros socios de HackerOne pensaron que ver los chats públicos del proyecto era un comportamiento intencionado."Más tarde ese día, emitió una disculpa parcial reconociendo que "No bastaba con señalar el problema de la documentación." CyberNews tituló su cobertura: "Loveable emprende un viaje de ego al negar la debilidad y luego culpar a los demás por esa debilidad."

que fue expuesto

El incidente de abril afectó a proyectos creados antes de noviembre de 2025. Los investigadores han demostrado que la extracción del código fuente del usuario de la API de Lovable también produce credenciales de base de datos Subase codificadas e integradas en ese código. Un proyecto afectado es Connected Women in AI, una organización danesa sin fines de lucro. Sus datos expuestos incluían registros de usuarios reales, incluidos nombres, puestos de trabajo, perfiles de LinkedIn e identificaciones de clientes de Stripe, con registros vinculados a personas de Accenture Dinamarca y Copenhagen Business School. Se dice que los empleados de Nvidia, Microsoft, Uber y Spotify han apalancado cuentas vinculadas a los proyectos afectados.

💜 de tecnología de la UE

Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. ¡Regístrate ahora!

Este fue el tercer incidente de seguridad documentado que involucra a la plataforma. En febrero, un emprendedor tecnológico llamado Taimur Khan encontró 16 vulnerabilidades, seis de ellas críticas, en una sola aplicación alojada en Loveable y presentada en su propia página Discover con más de 100.000 visitas. El más grave fue una lógica de autenticación invertida que permitía a los usuarios anónimos acceso total mientras bloqueaba a los usuarios autenticados. La aplicación, una herramienta EdTech impulsada por IA, reveló registros de 18.697 usuarios con 4.538 cuentas de estudiantes de instituciones como UC Berkeley y UC Davis, con menores en la plataforma. Khan informó sus resultados a través del canal de soporte de Loveball. Su ticket fue cerrado sin respuesta.

Un estudio anterior realizado en mayo de 2025 encontró que 170 de 1645 aplicaciones de muestra creadas por Loveable tenían problemas que permitían a cualquiera acceder a información personal. Alrededor del 70% de las adorables aplicaciones tenían la seguridad a nivel de fila completamente desactivada.

problemas estructurales

El amor no es únicamente inseguro. Es representativamente inseguro. La plataforma crea aplicaciones de pila completa utilizando React, Tailwind y Supabase en respuesta a indicaciones de lenguaje natural, un proceso que la industria llama codificación vibe después de que Andrej Karpathy acuñara el término en febrero de 2025. El enfoque permite a cualquiera describir una aplicación y generarla mediante un modelo de IA sin escribir ni revisar código. El Collins English Dictionary la nombró Palabra del año 2025. Gartner predice que el 60% de todo el código nuevo será generado por IA para finales de este año.

La información de seguridad es consistente en todo el departamento. Según el estudio, entre el 40 y el 62% del código generado por IA contiene vulnerabilidades de seguridad. Según un análisis de 470 solicitudes de extracción de GitHub, el código escrito por IA produce errores a una tasa 2,74 veces mayor que el código escrito por humanos. Una evaluación del primer trimestre de 2026 de más de 200 aplicaciones codificadas en Vibe encontró que el 91,5% tenía al menos una vulnerabilidad a las alucinaciones de IA. Más del 60% son claves API abiertas o credenciales de bases de datos en repositorios públicos. Las vulnerabilidades son las mismas en todas las categorías. Todas las principales plataformas de codificación de Vibe: seguridad a nivel de fila deshabilitada, privacidad codificada, falta de validación de webhook, errores de inyección y controles de acceso rotos.

Bolt.new se envía con la seguridad a nivel de fila desactivada de forma predeterminada. Se parchearon múltiples CVE en Cursor, incluida una omisión de distinción entre mayúsculas y minúsculas que permite la ejecución remota persistente de código. Los investigadores de Pillar Security han demostrado un "Puerta trasera del archivo de reglas"Ataques en los que los piratas informáticos inyectan instrucciones maliciosas ocultas en los archivos de configuración utilizados por Cursor y GitHub Copilot. Un artículo separado "Agente comandante" Los ataques de marzo demostraron que las inyecciones rápidas en agentes de codificación de IA podían transformar herramientas de codificación autónomas en plataformas de distribución de malware controladas de forma remota. En enero, la red social MoltBook, codificada por Vibe, fue vulnerada a los tres días de su lanzamiento, exponiendo 1,5 millones de tokens de autenticación de API y 35.000 direcciones de correo electrónico a través de direcciones de correo electrónico mal manejadas. Seguridad

Problema de incentivos económicos

Las agencias de seguridad están recaudando dinero. Especialmente para cerrar la brecha. Citando más de 2000 vulnerabilidades de alto impacto encontradas en sistemas de producción en vivo y cientos de secretos expuestos, Escape recaudó $18 millones para reemplazar las pruebas de penetración manuales con agentes de inteligencia artificial que escanean aplicaciones codificadas en Vibe. La propia Loveable se ha asociado con Aikido para llevar el pentesting automatizado a su plataforma. Pero la estructura básica de incentivos del mercado va en contra de la seguridad.

Loveable alcanzó 4 millones de dólares en ingresos recurrentes anuales en sus primeras cuatro semanas y 10 millones de dólares en dos meses con un equipo de 15 personas. Recaudó 200 millones de dólares con una valoración de 1.800 millones de dólares en julio de 2025 y 330 millones de dólares con una valoración de 6.600 millones de dólares en diciembre, más del triple de su valoración en cinco meses. La adopción de Vibe Coding Enterprise creció un 340 % año tras año. La adopción de usuarios no técnicos aumentó en un 520%. El 87 por ciento de las empresas Fortune 500 han adoptado al menos una plataforma de codificación Vibe. El mercado premia la rapidez y la accesibilidad. La seguridad es un centro de costos que frena a ambos.

El resultado es una clase en la que las plataformas dominantes producen código que es inseguro por defecto, los usuarios que producen ese código carecen de las habilidades para identificar vulnerabilidades y las plataformas tienen incentivos financieros para priorizar el crecimiento sobre la remediación. El manejo de Loveable de los eventos en marzo y abril ilustra la dinámica con precisión: se cerró un informe de recompensas por errores sin escalar, se parchó una vulnerabilidad que afectaba a miles de proyectos para nuevos usuarios pero no existía, y la respuesta pública pasó por negaciones, desviaciones y disculpas parciales en un día.

lagunas regulatorias

D Obligaciones de alto riesgo de la legislación de la UE sobre IA A partir del 2 de agosto, los sistemas de IA requieren transparencia, supervisión humana y gobernanza de datos. La SB 53 de California y la Ley RAISE de Nueva York exigen que los desarrolladores de inteligencia artificial fronteriza revelen los marcos de seguridad y reporten incidentes. Pero ninguna de estas regulaciones aborda específicamente la seguridad del código generado por los modelos de IA para los usuarios finales, y los datos de adopción sugieren que el mercado se está moviendo más rápido de lo que los reguladores pueden responder. Los servicios financieros y la atención médica, los dos sectores más regulados, muestran las tasas más bajas de adopción de Vibe Coding, con un 34 y un 28 % respectivamente, lo que indica que el mercado mismo reconoce la brecha de cumplimiento incluso si las regulaciones aún no se han puesto al día.

Trend Micro lo logró: "El verdadero riesgo en la codificación vibe no es escribir código inseguro de IA. Es el código de envío de la gente que nunca tuvieron la oportunidad de conseguir."Dar Aumento del 84 % en los envíos a la App Store El volumen de código no revisado impulsado por las herramientas de codificación de Vibe se está acelerando hacia la producción. Sólo en marzo se liberaron treinta y cinco CVE a partir de código generado por IA, frente a seis en enero, y Georgia Tech estima que el número real detectado es de cinco a diez veces mayor.

es cariñoso La startup de software de más rápido crecimiento de la historia mediante diversas medidas. Esta es una empresa que cerró un informe de vulnerabilidad crítica sin leerlo, dejó miles de proyectos abiertos durante 48 días y respondió a la divulgación pública negando una infracción, culpando a su documentación, culpando a su socio de recompensas por errores y luego disculpándose por una disculpa. El patrón no es exclusivo de Lovable. Es un patrón de categorías que ha creado herramientas extraordinarias para crear software y casi nada para protegerlo.

Source link

Foto de Redacción - ACN Redacción - ACN Enviar un correo electrónico 3 horas hace
0 3 7 minutos de lectura
Foto de Redacción - ACN

Redacción - ACN

Somos un portal de noticias líder en la República Dominicana que se especializa en ofrecer una cobertura informativa integral. Desde eventos políticos y económicos hasta avances científicos y noticias de entretenimiento, este sitio web es tu fuente confiable para mantenerse al día con los acontecimientos más relevantes tanto a nivel nacional como internacional. Además de ofrecer informes actualizados, ACN también se destaca por sus análisis en profundidad y sus entrevistas exclusivas que proporcionan una comprensión más completa de las noticias.

Artículos Relacionados

Foto de Los vehículos eléctricos chinos inundan TikTok y YouTube en EE. UU. ya que el arancel del 100% no logra frenar la demanda de BYD, Xiaomi y Zeekr

Los vehículos eléctricos chinos inundan TikTok y YouTube en EE. UU. ya que el arancel del 100% no logra frenar la demanda de BYD, Xiaomi y Zeekr

2 horas hace
Foto de OpenAI lleva Codex a las tiendas de software empresarial de todo el mundo

OpenAI lleva Codex a las tiendas de software empresarial de todo el mundo

4 horas hace
Foto de Samsung SmartThings e IKEA lanzan integración directa de Matter con bombillas inteligentes de $6 y no se requiere concentrador adicional

Samsung SmartThings e IKEA lanzan integración directa de Matter con bombillas inteligentes de $6 y no se requiere concentrador adicional

5 horas hace
Foto de Trump dice que es "posible" un acuerdo antropogénico con el Pentágono

Trump dice que es "posible" un acuerdo antropogénico con el Pentágono

6 horas hace

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Volver arriba botón