Berita ME, 21 April (UTC+8), menurut pemantauan Beating, penyelidik keselamatan @weezerOSINT mengungkap di X bahawa platform pembinaan aplikasi AI, Lovable, mempunyai kelemahan kegagalan kuasa peringkat objek (BOLA), di mana mana-mana akaun percuma boleh mengakses secara tidak sah kod sumber, kredensial pangkalan data, dan sejarah perbualan AI orang lain melalui panggilan API. Kelemahan ini telah dilaporkan melalui HackerOne pada 3 Mac 2026 (nombor laporan #3583821), tetapi sehingga kini, 48 hari kemudian, ia masih belum diperbaiki. Semasa demonstrasi, penyelidik berjaya mengakses projek organisasi bukan keuntungan Denmark, Connected Women in AI, dan mendapatkan keseluruhan kod sumber panel pentadbirnya, serta membaca perbualan antara pembangun dan Lovable AI mengenai struktur jadual pangkalan data, yang mengandungi medan seperti email, first_name, dan last_name. Ujian perbandingan menunjukkan: projek yang dicipta pada April 2026 mengembalikan 403 Forbidden, manakala projek lama yang masih diedit oleh pembangun yang sama 10 hari sebelumnya mengembalikan 200 OK bersama pohon fail sumber lengkap, membuktikan bahawa Lovable hanya memperbaiki pengesahan kuasa untuk projek baharu dan tidak memperbaiki projek sedia ada. Awalnya, Lovable menyatakan bahawa ini adalah “rekaan sengaja” dan “dokumentasi tidak jelas”, tetapi kemudian mengakui kesilapan, menjelaskan bahawa semasa penyegerakan kuasa belakang pada Februari 2026, akses perbualan untuk projek awam secara tidak sengaja dibuka semula, dan menyalahkan pihak pengelasan HackerOne kerana menganggap “perbualan projek awam boleh dilihat” sebagai tingkah laku yang diharapkan, oleh itu menutup laporan tersebut. Lovable menyatakan nilai pasaran sebanyak 66 bilion dolar AS, dengan pelanggan termasuk Uber, Zendesk, dan Deutsche Telekom. (Sumber: BlockBeats)
Lubang Keamanan Lovable Membenarkan Akses Tidak Sah kepada Kod Sumber dan Sejarah Chat AI
KuCoinFlashKongsi
Ringkasan
Laporan berita kerentanan dari MetaEra mengungkap kelemahan BOLA di platform berita AI + kripto Lovable, membolehkan pengguna percuma mengakses kod sumber, kredensial pangkalan data, dan sejarah perbualan. Isu ini dilaporkan melalui HackerOne pada 3 Mac 2026, dan tetap tidak dibaiki selama 48 hari. Seorang penyelidik menunjukkan akses kepada satu projek oleh pertubuhan bukan keuntungan Denmark Connected Women in AI, mendedahkan kod sumber penuh dan data sensitif. Lovable awalnya menolak laporan itu sebagai rekaan yang dimaksudkan, kemudian mengakui kesilapan dan menyalahkan pasukan triage HackerOne.
Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini.
Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.