หน้าแรก
ข่าวสาร
รายละเอียด

ช่องโหว่ของ API ที่น่ารักทำให้สามารถเข้าถึงรหัสแหล่งที่มาและประวัติการแชท AI โดยไม่ได้รับอนุญาต

iconKuCoinFlash
แชร์
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconสรุป

expand icon
รายงานข่าวช่องโหว่จาก MetaEra เปิดเผยว่ามีช่องโหว่ประเภท BOLA บนแพลตฟอร์มข่าว AI และคริปโตฯ ชื่อ Lovable ซึ่งทำให้ผู้ใช้ฟรีสามารถเข้าถึงรหัสแหล่งที่มา ข้อมูลรับรองฐานข้อมูล และประวัติการแชทได้ ปัญหานี้ถูกรายงานผ่าน HackerOne เมื่อวันที่ 3 มีนาคม 2026 และยังไม่ได้รับการแก้ไขเป็นเวลา 48 วัน นักวิจัยได้แสดงให้เห็นถึงการเข้าถึงโครงการขององค์กรไม่แสวงหากำไรของเดนมาร์ก Connected Women in AI ซึ่งเปิดเผยรหัสแหล่งที่มาเต็มรูปแบบและข้อมูลที่ละเอียดอ่อน Lovable แรกเริ่มปฏิเสธรายงานนี้ว่าเป็นการออกแบบที่ตั้งใจไว้ ต่อมาจึงยอมรับว่าผิดพลาดและโทษทีมคัดกรองของ HackerOne

ข่าว ME News เมื่อวันที่ 21 เมษายน (UTC+8) ตามข้อมูลจาก Beating นักวิจัยด้านความปลอดภัย @weezerOSINT ได้เปิดเผยบน X ว่า แพลตฟอร์มสร้างแอปพลิเคชัน AI ชื่อ Lovable มีช่องโหว่การสูญเสียการอนุญาตระดับออบเจ็กต์ (BOLA) โดยบัญชีฟรีใดๆ ก็สามารถเรียกใช้ API เพื่อเข้าถึงรหัสแหล่งที่มา ข้อมูลการเข้าถึงฐานข้อมูล และประวัติการสนทนา AI ของผู้ใช้รายอื่นได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้ถูกรายงานผ่าน HackerOne เมื่อวันที่ 3 มีนาคม 2026 (รายงานหมายเลข #3583821) แต่จนถึงขณะนี้ยังไม่ได้รับการแก้ไขเป็นเวลา 48 วัน ในระหว่างการสาธิต นักวิจัยสามารถเข้าถึงโปรเจกต์ของ Connected Women in AI ซึ่งเป็นองค์กรไม่แสวงหากำไรของเดนมาร์ก และได้รับรหัสแหล่งที่มาทั้งหมดของระบบผู้ดูแลระบบ รวมถึงการอ่านบทสนทนาของนักพัฒนาและ Lovable AI เกี่ยวกับโครงสร้างตารางฐานข้อมูล ซึ่งมีข้อมูลเช่น email, first_name, last_name เป็นต้น การทดสอบเปรียบเทียบพบว่า โปรเจกต์ที่สร้างขึ้นในเดือนเมษายน 2026 กลับค่า 403 Forbidden ในขณะที่โปรเจกต์เก่าที่นักพัฒนาคนเดียวกันยังคงแก้ไขอยู่เมื่อ 10 วันก่อนกลับค่า 200 OK และส่งไฟล์โครงสร้างรหัสแหล่งที่มาทั้งหมด แสดงให้เห็นว่า Lovable ได้แก้ไขการตรวจสอบสิทธิ์เฉพาะสำหรับโปรเจกต์ใหม่เท่านั้น และยังไม่ได้แก้ไขโปรเจกต์เก่าที่มีอยู่แล้ว Lovable เดิมอ้างว่าเรื่องนี้เป็น “การออกแบบโดยตั้งใจ” และ “เอกสารอธิบายไม่ชัดเจน” แต่ต่อมาได้ยอมรับข้อผิดพลาด โดยอธิบายว่าเมื่อปรับปรุงสิทธิ์ด้านแบ็กเอนด์ในเดือนกุมภาพันธ์ 2026 ได้เกิดความผิดพลาดโดยเปิดการเข้าถึงการสนทนาของโปรเจกต์สาธารณะอีกครั้ง และโยนความรับผิดชอบให้กับฝ่ายจัดการรายงานของ HackerOne โดยอ้างว่าฝ่ายดังกล่าวมองว่า “การเข้าถึงการสนทนาของโปรเจกต์สาธารณะ” เป็นพฤติกรรมที่คาดหวัง จึงปิดรายงานนี้ Lovable อ้างว่ามีมูลค่า 6.6 พันล้านดอลลาร์สหรัฐ และมีลูกค้ารวมถึง Uber, Zendesk และ Deutsche Telekom (ที่มา: BlockBeats)

แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้ การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา