Apps, die mit KI-gestützten App-Buildern erstellt werden, versprechen schnelle Entwicklung und einfache Nutzung. Doch die Forschung zeigt, dass lovable apps aufgrund ihres Designs ernsthafte Risiken bergen können. Die Schlüsselphrase erscheint früh und klingt natürlich. Selbst wenn Nutzer „sicheren Code“ anfordern, verlassen sich viele App-Ersteller eher auf die Logik der Plattformen als auf eine professionelle Sicherheitsprüfung. Das Ergebnis sind Apps mit Schwachstellen und einem falschen Gefühl von Sicherheit.
Forschungsergebnisse
Forscher von OX Security untersuchten mehrere KI-basierte App-Builder, darunter Lovable, Base44 und Bolt. Sie beauftragten die Plattformen, eine Wiki-ähnliche App mit HTML-Bearbeitungsfunktionen zu generieren. Alle Plattformen lieferten funktionierende Apps. Dennoch wies jede Version gespeicherte XSS-Schwachstellen auf, die es Angreifern ermöglichten, HTML einzuschleusen, Sitzungen zu kapern und Daten zu stehlen.
Die Forscher forderten die Plattformen anschließend auf, den Code zu „sichern“. Die Ergebnisse führten nur zu teilweisen Verbesserungen. Die integrierten „Security Check: Passed“-Plaketten oder Scanner erkannten Schwachstellen nur inkonsistent. Lovables Scanner entdeckte beispielsweise nur etwa 66 % der Probleme. Bolts Scanner übersah mehrere schwerwiegende Fehler. Die Forscher kamen zu dem Schluss, dass diese inkonsistente Erkennung bei Nutzern — insbesondere nicht-technischen Erstellern — ein falsches Sicherheitsgefühl erzeugt.
Warum das wichtig ist
Viele Nutzer von KI-App-Buildern verfügen nicht über tiefgehende Programmier- oder Sicherheitskenntnisse. Sie vertrauen auf das Versprechen schneller Veröffentlichung und gehen davon aus, dass integrierte Scanner echte Sicherheit gewährleisten. Wenn diese Scanner jedoch zentrale Schwachstellen übersehen, gelangen Apps mit schwachen Abwehrmechanismen in die Produktion. In großem Maßstab bedeutet das, dass viele „lovable apps“ potenzielle Angriffsvektoren in Unternehmens- und Verbrauchersystemen darstellen.
Zudem führt die einfache Veröffentlichung dazu, dass nicht-technische Entwickler häufig manuelle Code-Reviews oder externe Tests überspringen. Jede App, die mit einer Schwachstelle veröffentlicht wird, erhöht das kumulierte Risiko im Ökosystem. Angreifer können solche Schwächen ausnutzen, um Zugriff zu erhalten, Rechte zu erweitern oder sensible Daten zu stehlen.
Was Entwickler und Organisationen tun sollten
Organisationen, die Apps über KI-basierte Plattformen erstellen oder einsetzen, müssen diese wie individuell entwickelte Software behandeln — nicht als risikoarme Werkzeuge. Entwickler sollten:
- Generierten Code auf Schwachstellen wie XSS, Injektionen oder fehlerhafte Authentifizierung prüfen und testen.
- Manuelle Sicherheitsprüfungen erzwingen, auch wenn die Plattform eine „secure build“ verspricht.
- Nutzer und App-Ersteller schulen, Risiken zu erkennen und zu minimieren, statt sich ausschließlich auf automatische Checks zu verlassen.
- Least-Privilege-Berechtigungen in veröffentlichten Apps umsetzen und die Nutzung aktiv auf Anomalien überwachen.
Fazit
Lovable apps können aufgrund ihres Designs gefährlich sein, wenn KI-App-Builder keine robuste Sicherheit integrieren — und Nutzer integrierte „security scan“-Hinweise ungeprüft akzeptieren. Organisationen, die solche Plattformen nutzen, müssen jede generierte App wie Produktionssoftware behandeln, umfassende Sicherheitsprüfungen durchführen und wachsam bleiben. Werden diese Schritte vernachlässigt, setzen sie Nutzer und Daten vermeidbaren Risiken aus.
0 Antworten zu „„Lovable“-Apps können aufgrund ihres Designs gefährlich sein, zeigt Forschung“