MEニュース:2026年4月21日(UTC+8)、動察Beatingの監視によると、セキュリティ研究者@weezerOSINTがX上で、AIアプリ構築プラットフォーム「Lovable」にオブジェクトレベルの認可不備(BOLA)の脆弱性が存在すると公表しました。この脆弱性により、無料アカウントでもAPI呼び出しを通じて他のユーザーのプロジェクトのソースコード、データベース資格情報、AI対話履歴を不正に読み取ることが可能です。この脆弱性は2026年3月3日にHackerOneを通じて報告(報告番号#3583821)されましたが、現在まで48日間修正されていません。 研究者はデンマークの非営利団体「Connected Women in AI」のプロジェクトにアクセスし、その管理バックエンドの完全なソースコードを取得するとともに、開発者がLovable AIとデータベーステーブル構造について議論した内容を読み取り、email、first_name、last_nameなどのフィールドを確認しました。比較テストの結果、2026年4月に新規作成されたプロジェクトは403 Forbiddenを返す一方で、同じ開発者が10日前まで編集していた旧プロジェクトは200 OKを返し、完全なソースファイルツリーを含んでいたことから、Lovableは新規プロジェクトに対してのみ権限チェックを修正し、既存プロジェクトには適用されていないことが証明されました。 Lovableは当初、この問題を「意図的な設計」であり「ドキュメントが不明確だった」と説明しましたが、その後誤りを認めて、2026年2月にバックエンドの権限を統合する際に、publicプロジェクトのチャットアクセスが誤って再開放されたと説明しました。また、HackerOneの分類担当者が「公開プロジェクトのチャットは閲覧可能である」というのが想定される行動と判断したため、この報告を閉じたと責任を転嫁しました。Lovableの評価額は660億ドルで、顧客にはUber、Zendesk、ドイツ电信が含まれます。(出典:BlockBeats)
愛らしいAPIの脆弱性により、ソースコードとAIチャット履歴への不正アクセスが可能に
KuCoinFlash共有
概要
MetaEraからの脆弱性に関するニュースレポートによると、AIと暗号通貨のニュースプラットフォーム「Lovable」にBOLAの脆弱性が存在し、無料ユーザーがソースコード、データベースの資格情報、チャット履歴にアクセスできる状態になっていました。この問題は2026年3月3日にHackerOneを通じて報告され、48日間パッチが適用されませんでした。ある研究者が、デンマークの非営利団体「Connected Women in AI」のプロジェクトにアクセスできることを実証し、完全なソースコードと機密データが暴露されました。Lovableは当初、この報告を意図的な設計であると否定しましたが、後に誤りを認めてHackerOneのトリアージチームを非難しました。
出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。
デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。