Apper bygget med AI-drevne appbyggere lover rask utvikling og enkel bruk. Likevel viser forskning at lovable apps kan inneholde alvorlige risikoer. Nøkkelfrasen kommer tidlig og flyter naturlig. Selv når brukere ber om «sikker kode», stoler mange skapere på plattformenes innebygde logikk fremfor ekspertgjennomgang. Resultatet er apper med sårbarheter og en falsk følelse av sikkerhet.
Forskningsfunnene
Forskere ved OX Security evaluerte flere AI-baserte appbyggere, inkludert Lovable, Base44 og Bolt. De ba plattformene lage en wiki-lignende app med HTML-redigeringsfunksjoner. Alle plattformene leverte fungerende apper. Likevel inneholdt hver versjon lagrede XSS-sårbarheter som gjorde det mulig for angripere å injisere HTML, kapre økter og stjele data.
Forskerne ba deretter plattformene om å «sikre» koden. Resultatet ble kun delvise forbedringer. De innebygde «Security Check: Passed»-merkene eller skanningsverktøyene identifiserte sårbarheter inkonsekvent. For eksempel oppdaget Lovables skanner bare rundt 66 % av problemene. Bolts skanner identifiserte ikke flere kritiske svakheter. Forskerne konkluderte med at inkonsekvent deteksjon skaper en falsk trygghet hos brukere, spesielt de uten teknisk kompetanse.
Hvorfor dette er viktig
Mange av brukerne som benytter AI-baserte appbyggere mangler dyp programmerings- og sikkerhetskompetanse. De stoler på plattformenes løfter om rask lansering og antar at innebygde sikkerhetsskannere betyr reell beskyttelse. Når disse skannerne overser viktige sårbarheter, når appene produksjon med svake forsvarsmekanismer. I stor skala betyr dette at mange «lovable apps» kan bli angrepsvektorer i både bedrifts- og forbrukermiljøer.
Den enkle publiseringsprosessen innebærer også at ikke-tekniske skapere ofte hopper over manuell gjennomgang eller uavhengig sikkerhetstesting. Hver app som publiseres med en sårbarhet øker risikoen i hele økosystemet. Angripere kan utnytte slike svakheter til å få tilgang, eskalere privilegier eller stjele sensitiv informasjon.
Hva utviklere og organisasjoner bør gjøre
Alle organisasjoner som bygger eller tar i bruk apper via AI-plattformer må behandle dem som skreddersydd programvare — ikke lavrisikoverktøy. Utviklere bør:
- Gå gjennom og teste generert kode for sårbarheter som XSS, injeksjoner og svak autentisering.
- Kreve manuelle sikkerhetsgjennomganger, selv når plattformen hevder «secure build».
- Trene brukere og skapere i å identifisere og redusere risiko, i stedet for å stole blindt på automatiske kontroller.
- Implementere least-privilege-prinsippet i publiserte apper og overvåke aktiv bruk for avvik.
Konklusjon
Lovable apps kan være farlige av sin design når AI-drevne appbyggere ikke integrerer robuste sikkerhetsmekanismer — og brukere godtar «security scan»-merker uten kritisk vurdering. Organisasjoner som baserer seg på slike plattformer må behandle hver generert app som produksjonsprogramvare, utføre grundige sikkerhetskontroller og være årvåkne. Hvis disse trinnene overses, kan både brukere og data utsettes for unødvendig risiko.
0 svar til “«Lovable»-apper kan være farlige av design, viser forskning”