Trang chủ
Tin tức
Chi tiết

Lỗ hổng API Lovable cho phép truy cập trái phép vào mã nguồn và lịch sử trò chuyện AI

iconKuCoinFlash
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconTóm tắt

expand icon
Một báo cáo tin tức về lỗ hổng từ MetaEra tiết lộ một lỗ hổng BOLA trên nền tảng tin tức AI + tiền điện tử Lovable, cho phép người dùng miễn phí truy cập mã nguồn, thông tin xác thực cơ sở dữ liệu và lịch sử trò chuyện. Vấn đề này đã được báo cáo qua HackerOne vào ngày 3 tháng 3 năm 2026 và vẫn chưa được vá trong 48 ngày. Một nhà nghiên cứu đã chứng minh khả năng truy cập vào một dự án của tổ chức phi lợi nhuận Đan Mạch Connected Women in AI, phơi bày toàn bộ mã nguồn và dữ liệu nhạy cảm. Lovable ban đầu bác bỏ báo cáo này là thiết kế có chủ ý, sau đó thừa nhận sai sót và đổ lỗi cho đội ngũ phân loại của HackerOne.

Theo tin tức từ ME News, vào ngày 21 tháng 4 (UTC+8), theo giám sát của Beating, chuyên gia an ninh @weezerOSINT đã tiết lộ trên X rằng nền tảng xây dựng ứng dụng AI Lovable có lỗ hổng mất xác thực cấp đối tượng (BOLA), cho phép bất kỳ tài khoản miễn phí nào truy cập trái phép qua API để đọc mã nguồn, thông tin xác thực cơ sở dữ liệu và lịch sử hội thoại AI của các dự án khác. Lỗ hổng này đã được báo cáo qua HackerOne vào ngày 3 tháng 3 năm 2026 (số báo cáo #3583821), nhưng đến nay đã 48 ngày vẫn chưa được khắc phục. Trong quá trình kiểm tra, chuyên gia đã truy cập vào dự án của tổ chức phi lợi nhuận Đan Mạch Connected Women in AI, lấy được toàn bộ mã nguồn quản trị và đọc được cuộc hội thoại giữa nhà phát triển và Lovable AI về cấu trúc bảng cơ sở dữ liệu, bao gồm các trường như email, first_name, last_name. Anh ta so sánh phát hiện: các dự án được tạo mới vào tháng 4 năm 2026 trả về 403 Forbidden, trong khi các dự án cũ mà cùng nhà phát triển vẫn đang chỉnh sửa cách đây 10 ngày lại trả về 200 OK kèm toàn bộ cây tệp mã nguồn, chứng minh rằng Lovable chỉ sửa xác thực quyền cho các dự án mới mà không vá lại cho các dự án hiện có. Ban đầu, Lovable tuyên bố đây là “thiết kế có chủ ý” và “tài liệu diễn giải không rõ ràng”, nhưng sau đó đã thừa nhận sai sót, giải thích rằng khi đồng bộ hóa quyền backend vào tháng 2 năm 2026, họ vô tình mở lại quyền truy cập cuộc trò chuyện cho các dự án public, và đổ lỗi cho đội ngũ phân loại của HackerOne vì cho rằng “việc xem cuộc trò chuyện của dự án public” là hành vi mong đợi, do đó đã đóng báo cáo. Lovable tự tuyên bố định giá 66 tỷ USD với khách hàng bao gồm Uber, Zendesk và Deutsche Telekom. (Nguồn: BlockBeats)

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.