Berita ME, 21 April (UTC+8), menurut pemantauan Beating, peneliti keamanan @weezerOSINT mengungkap di X bahwa platform pembangun aplikasi AI, Lovable, memiliki kerentanan BOLA (Broken Object Level Authorization), memungkinkan akun gratis apa pun untuk mengakses secara tidak sah kode sumber proyek orang lain, kredensial database, dan riwayat percakapan AI melalui panggilan API. Kerentanan ini telah dilaporkan melalui HackerOne pada 3 Maret 2026 (nomor laporan #3583821), tetapi hingga kini, 48 hari kemudian, belum diperbaiki. Saat melakukan demonstrasi, peneliti mengakses proyek organisasi nirlaba Denmark Connected Women in AI, mendapatkan seluruh kode sumber backend-nya, serta membaca percakapan antara pengembang dan Lovable AI mengenai struktur tabel database, yang mencakup bidang-bidang seperti email, first_name, dan last_name. Dalam pengujian perbandingan, ia menemukan bahwa proyek yang dibuat pada April 2026 mengembalikan respons 403 Forbidden, sementara proyek lama yang masih diedit oleh pengembang yang sama 10 hari sebelumnya mengembalikan respons 200 OK beserta pohon file kode sumber lengkap, membuktikan bahwa Lovable hanya memperbaiki validasi izin untuk proyek baru dan tidak menerapkan perbaikan ke proyek yang sudah ada. Awalnya, Lovable menyatakan hal ini sebagai "desain yang disengaja" dan "dokumentasi yang tidak jelas", tetapi kemudian mengakui kesalahan, menjelaskan bahwa pada Februari 2026, saat menyatukan otorisasi backend, akses obrolan untuk proyek publik secara tidak sengaja dibuka kembali, dan menyalahkan pihak triase HackerOne karena menganggap "pemantauan obrolan proyek publik" sebagai perilaku yang diharapkan, sehingga menutup laporan tersebut. Lovable menyatakan valuasi dirinya sebesar 66 miliar dolar AS, dengan klien termasuk Uber, Zendesk, dan Deutsche Telekom. (Sumber: BlockBeats)
Kerentanan Lovable API Memungkinkan Akses Tidak Sah ke Kode Sumber dan Riwayat Chat AI
KuCoinFlashBagikan
Ringkasan
Laporan berita kerentanan dari MetaEra mengungkapkan kelemahan BOLA di platform berita AI + kripto Lovable, yang memungkinkan pengguna gratis mengakses kode sumber, kredensial database, dan riwayat chat. Masalah ini dilaporkan melalui HackerOne pada 3 Maret 2026, dan tetap tidak diperbaiki selama 48 hari. Seorang peneliti menunjukkan akses ke proyek dari organisasi nirlaba Denmark Connected Women in AI, yang mengungkapkan kode sumber penuh dan data sensitif. Lovable awalnya menolak laporan tersebut sebagai desain yang dimaksudkan, kemudian mengakui kesalahan dan menyalahkan tim triase HackerOne.
Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini.
Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.