Crisis de seguridad entrañable: 48 días de proyectos expuestos, informes de errores cerrados y el fallo estructural de la seguridad en la codificación de vibras

      Resumen: Lovable, la plataforma de codificación de vibras valorada en 6.6 mil millones de dólares con ocho millones de usuarios, ha enfrentado tres incidentes de seguridad documentados que expusieron código fuente, credenciales de base de datos y miles de registros de usuarios, siendo la vulnerabilidad BOLA más reciente mantenida abierta durante 48 días después de que la empresa cerrara un informe de recompensas por errores sin escalación. Los incidentes son representativos de un problema estructural en la codificación de vibras: entre el 40% y el 62% del código generado por IA contiene vulnerabilidades, el 91.5% de las aplicaciones codificadas con vibras tenía al menos un defecto relacionado con alucinaciones de IA en el primer trimestre de 2026, y la estructura de incentivos del mercado recompensa el crecimiento sobre la seguridad en un momento en que se proyecta que el 60% de todo el nuevo código será generado por IA para fin de año.

      Lovable, la plataforma de codificación de vibras valorada en 6.6 mil millones de dólares con ocho millones de usuarios, ha pasado los últimos dos meses lidiando con incidentes de seguridad que expusieron colectivamente código fuente, credenciales de base de datos, historiales de chat de IA y datos personales de miles de usuarios en proyectos construidos sobre su plataforma. La divulgación más reciente, publicada el 20 de abril por un investigador de seguridad, reveló una vulnerabilidad de autorización a nivel de objeto rota en la API de Lovable que permitía a cualquier persona con una cuenta gratuita acceder al perfil de otro usuario, proyectos públicos, código fuente y credenciales de base de datos en tan solo cinco llamadas a la API. El investigador reportó el defecto al programa de recompensas por errores de Lovable el 3 de marzo. Lovable lo corrigió para nuevos proyectos pero nunca lo arregló para los existentes, marcó un informe de seguimiento como duplicado y lo cerró. Al momento de informar, la vulnerabilidad había estado abierta durante 48 días.

      La respuesta de Lovable siguió un patrón que los investigadores de seguridad encontraron más revelador que la vulnerabilidad misma. La empresa primero publicó en X que "no sufrió una violación de datos", llamando a los datos expuestos "comportamiento intencional". Luego culpó a su propia documentación, diciendo que lo que "público" implica "no estaba claro". Luego culpó a su socio de recompensas por errores HackerOne, diciendo que los informes fueron "cerrados sin escalación porque nuestros socios de HackerOne pensaron que ver los chats de proyectos públicos era el comportamiento previsto". Más tarde ese día, emitió una disculpa parcial reconociendo que "señalar solo problemas de documentación no fue suficiente". Cybernews tituló su cobertura: "Lovable se embarca en un viaje de ego negando la vulnerabilidad, luego culpa a otros por dicha vulnerabilidad".

      Lo que se expuso

      El incidente de abril afectó a proyectos creados antes de noviembre de 2025. El investigador demostró que extraer el código fuente de un usuario de la API de Lovable también arrojaba credenciales de base de datos de Supabase codificadas en ese código. Un proyecto afectado pertenecía a Connected Women in AI, una organización sin fines de lucro danesa. Sus datos expuestos contenían registros reales de usuarios, incluidos nombres, títulos de trabajo, perfiles de LinkedIn e identificaciones de clientes de Stripe, con registros vinculados a individuos de Accenture Dinamarca y la Escuela de Negocios de Copenhague. Se informa que empleados de Nvidia, Microsoft, Uber y Spotify tienen cuentas de Lovable vinculadas a proyectos afectados.

      El 💜 de la tecnología de la UE Las últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Regístrate ahora! Este fue el tercer incidente de seguridad documentado que involucró a la plataforma. En febrero, un emprendedor tecnológico llamado Taimur Khan encontró 16 vulnerabilidades, seis de ellas críticas, en una sola aplicación alojada en Lovable y presentada en su propia página de Descubrimiento con más de 100,000 vistas. La más severa fue una lógica de autenticación invertida que otorgaba acceso completo a usuarios anónimos mientras bloqueaba a los usuarios autenticados. La aplicación, una herramienta EdTech impulsada por IA, expuso 18,697 registros de usuarios, incluidos 4,538 cuentas de estudiantes de instituciones como UC Berkeley y UC Davis, con menores probablemente en la plataforma. Khan reportó sus hallazgos a través del canal de soporte de Lovable. Su ticket fue cerrado sin respuesta.

      Un estudio anterior en mayo de 2025 encontró que 170 de 1,645 aplicaciones creadas por Lovable tenían problemas que permitían que cualquier persona accediera a información personal. Aproximadamente el 70% de las aplicaciones de Lovable tenían la seguridad a nivel de fila desactivada por completo.

      El problema estructural

      Lovable no es inherentemente inseguro. Es representativamente inseguro. La plataforma genera aplicaciones de pila completa utilizando React, Tailwind y Supabase en respuesta a solicitudes en lenguaje natural, un proceso que la industria llama codificación de vibras después de que Andrej Karpathy acuñara el término en febrero de 2025. El enfoque permite a cualquier persona describir una aplicación y hacer que un modelo de IA la construya sin escribir o revisar código. El Diccionario Collins de Inglés lo nombró Palabra del Año para 2025. Gartner pronostica que el 60% de todo el nuevo código será generado por IA para finales de este año.

      Los datos de seguridad en toda la categoría son consistentes. Entre el 40% y el 62% del código generado por IA contiene vulnerabilidades de seguridad, dependiendo del estudio. El código escrito por IA produce defectos a una tasa 2.74 veces mayor que el código escrito por humanos, según un análisis de 470 solicitudes de extracción de GitHub. Una evaluación del primer trimestre de 2026 de más de 200 aplicaciones codificadas con vibras encontró que el 91.5% contenía al menos una vulnerabilidad rastreable a alucinaciones de IA. Más del 60% expuso claves de API o credenciales de base de datos en repositorios públicos. Las clases de vulnerabilidad son las mismas en todas las principales plataformas de codificación de vibras: seguridad a nivel de fila desactivada, secretos codificados, verificación de webhook faltante, fallos de inyección y controles de acceso rotos.

      Bolt.new se envía con la seguridad a nivel de fila desactivada por defecto. Cursor ha tenido múltiples CVEs corregidos, incluido un bypass de sensibilidad a mayúsculas que permite la ejecución remota de código persistente. Investigadores de Pillar Security demostraron un ataque de "puerta trasera de archivo de reglas" en el que los hackers inyectan instrucciones maliciosas ocultas en archivos de configuración utilizados por Cursor y GitHub Copilot. Un ataque separado de "Agente Comandante" en marzo mostró que la inyección de solicitudes en agentes de codificación de IA podría convertir herramientas de codificación autónomas en plataformas de entrega de malware controladas de forma remota. En enero, la red social codificada con vibras Moltbook fue violada dentro de los tres días posteriores a su lanzamiento, exponiendo 1.5 millones de tokens de autenticación de API y 35,000 direcciones de correo electrónico a través de una base de datos de Supabase mal configurada sin seguridad a nivel de fila.

      El problema del incentivo económico

      Las empresas de seguridad están recaudando dinero específicamente para abordar la brecha. Escape recaudó 18 millones de dólares para reemplazar las pruebas de penetración manual con agentes de IA que escanean aplicaciones codificadas con vibras, citando más de 2,000 vulnerabilidades de alto impacto y cientos de secretos expuestos encontrados en sistemas de producción en vivo. Lovable en sí se asoció con Aikido para llevar pruebas de penetración automatizadas a su plataforma. Pero la estructura de incentivos fundamental del mercado trabaja en contra de la seguridad.

      Lovable alcanzó 4 millones de dólares en ingresos recurrentes anuales en sus primeras cuatro semanas y 10 millones de dólares en dos meses con un equipo de 15 personas. Recaudó 200 millones de dólares a una valoración de 1.8 mil millones de dólares en julio de 2025 y 330 millones de dólares a 6.6 mil millones de dólares en diciembre, más que triplicando su valoración en cinco meses. La adopción empresarial de la codificación de vibras creció un 340% año tras año. La adopción de usuarios no técnicos se disparó un 520%. El ochenta y siete por ciento de las empresas Fortune 500 han adoptado al menos una plataforma de codificación de vibras. El mercado recompensa la velocidad y la accesibilidad. La seguridad es un centro de costos que ralentiza ambos.

      El resultado es una categoría en la que las plataformas dominantes generan código que es inseguro por defecto, los usuarios que generan ese código carecen de la experiencia para identificar las vulnerabilidades, y las propias plataformas tienen incentivos financieros para priorizar el crecimiento sobre la remediación. El manejo de Lovable de los incidentes de marzo y abril ilustra precisamente la dinámica: un informe de recompensas