Уязвимость в Lovable API позволяет получить неавторизованный доступ к исходному коду и историям чатов с ИИ

Согласно новости ME, 21 апреля (UTC+8), по данным мониторинга Beating, исследователь безопасности @weezerOSINT раскрыл на X уязвимость типа BOLA (отказ в авторизации на уровне объекта) в платформе для создания приложений Lovable: любой бесплатный аккаунт может через вызов API несанкционированно получать исходный код, учетные данные базы данных и историю диалогов с ИИ других пользователей. Уязвимость была сообщена через HackerOne 3 марта 2026 года (номер отчета #3583821), и на данный момент, спустя 48 дней, она все еще не устранена. При демонстрации исследователь получил полный исходный код проекта датской некоммерческой организации Connected Women in AI и прочитал диалог между разработчиком и Lovable AI о структуре таблиц базы данных, включая поля email, first_name, last_name и другие. При сравнительном тестировании выяснилось: новые проекты, созданные в апреле 2026 года, возвращают ошибку 403 Forbidden, тогда как старые проекты, которые тот же разработчик редактировал еще 10 дней назад, возвращают 200 OK вместе с полным деревом исходных файлов, что подтверждает, что Lovable исправил проверку прав доступа только для новых проектов, но не применил исправление к существующим. Изначально Lovable назвало эту уязвимость «преднамеренным дизайном» и «недостаточно четкой документацией», но позже признало ошибку, объяснив, что при унификации прав доступа на бэкенде в феврале 2026 года случайно снова открыло доступ к чатам публичных проектов, и возложило ответственность на службу сортировки HackerOne, заявив, что она сочла «доступ к чатам публичных проектов» ожидаемым поведением и закрыла отчет. Lovable утверждает, что ее оценочная стоимость составляет 66 миллиардов долларов США, а клиентами являются Uber, Zendesk и Deutsche Telekom. (Источник: BlockBeats)