Diese von KI erstellte App hat die E-Mail jedes Benutzers geleakt. Hier ist die Zeile.

Ein Gründer hat ein CRM in einem Wochenende generiert. Es hat in der Demo funktioniert. Es wurde am Freitag deployed.

Die /api/contacts Route hat nie geprüft, wer fragt. Jeder eingeloggte Benutzer konnte die Zeilen jedes anderen Mandanten lesen, indem er eine ID inkrementierte. 14.000 Datensätze. Niemand hat den Diff gelesen, der den Tenancy-Guard entfernt hat — der Agent hat die Abfrage „vereinfacht" und der Mensch hat das grüne Häkchen genehmigt, nicht den Code.

Die Zeile, die es getötet hat: die where org_id = $current Klausel, die das Refactoring entfernt hat. Eine Zeile. Keine Überprüfung hat sie gefunden, weil niemand die Überprüfung gelesen hat.