Уразливість Lovable API дозволяє отримати несанкціонований доступ до вихідного коду та історій чатів з ІІ

ME News: 21 квітня (UTC+8), за даними Beating, дослідник безпеки @weezerOSINT оприлюднив у X, що платформа для створення AI-додатків Lovable має вразливість BOLA (порушення авторизації на рівні об’єкта): будь-який безкоштовний обліковий запис може через виклик API отримати несанкціонований доступ до вихідного коду, облікових даних бази даних та історії діалогів AI інших користувачів. Ця вразливість була повідомлена через HackerOne 3 березня 2026 року (звіт №3583821), але на сьогоднішній день, через 48 днів, вона залишається непоширеною. Під час демонстрації дослідник отримав повний вихідний код проекту датської некомерційної організації Connected Women in AI та прочитав діалог між розробником та Lovable AI щодо структури таблиць бази даних, що містив поля email, first_name, last_name тощо. Порівняльний тест показав: нові проекти, створені в квітні 2026 року, повертають 403 Forbidden, тоді як старі проекти, які розробник продовжував редагувати 10 днів тому, повертають 200 OK разом із повним деревом файлів, що підтверджує, що Lovable виправив перевірку прав доступу лише для нових проектів, але не застосував це до існуючих. Спочатку Lovable назвав це «намірним дизайном» та «недостатньо чітким описом у документації», але пізніше визнав помилку, пояснивши, що під час єднання бекенду у лютому 2026 року випадково знову ввімкнули доступ до чату для публічних проектів і перекладено вину на розподільник HackerOne, стверджуючи, що той вважав «доступ до чату публічних проектів» очікуваною поведінкою і закрив звіт. Lovable оцінюється у 66 мільярдів доларів США, а серед її клієнтів — Uber, Zendesk та Deutsche Telekom. (Джерело: BlockBeats)