- Lovableで構築されたアプリ1つに6個の重大な脆弱性とさらに10個が含まれていた
- Lovableの1,645個のアプリのうち170個に重大な欠陥が見つかった
- AIコードは正しく見えて機能するかもしれないが、安全ではないかもしれない
Vibeコーディングプラットフォーム「Lovable」が、セキュリティ研究者タイマー・カーン氏がLovableで紹介されたアプリ(EdTech)に16個の脆弱性(そのうち6個は重大)が含まれていることを発見した後、不安全なアプリをホストしていると指摘されています。
カーン氏は、このアプリが主要な大学や学校の教師と学生を含む18,000件以上のユーザーレコードを露出させた方法について説明しました。
不正なアクセス制御により、誰でも実際にログインせずにすべてのユーザーデータを表示し、アカウントを削除し、クレジット残高を変更し、一括メールを送信し、コースや成績提出にアクセスできました。
Lovableで紹介されたアプリの脆弱性が18,000件以上に影響
カーン氏によると、根本的なバグは単純なロジックエラーでした。「ロジックは以下のように言っています:ログインしたユーザーの場合、アクセスを拒否する」と彼は述べました。このバグは「適切なレビューなしにAIコード生成を通り抜けたかもしれない」と彼は述べており、人間のレビュアーがそのようなエラーを検出したであろう(またはそもそも導入さえしなかった)ことを示唆しています。
AI生成されたバックエンドコードは完全に機能しているように見えましたが、安全に設定されていませんでした。
このレポートはLovableの1つのアプリにのみ関連していますが、カーン氏は同様のエラーがより広く発生する可能性があることを懸念しています。「セキュリティ研究者はLovableで構築された1,645個のアプリをスキャンし、そのうち170個に重大な欠陥があることを発見した」とカーン氏は述べています。
彼はAI生成コードを「ショートカット」ではなく「リスク」と説明し、正しく見え、正常に実行され、必ずしも安全ではない洗練されたユーザーインターフェースを生成するVibeコードを批判しました。
さらに、カーン氏は「Vibeハッキング」という概念を紹介しました。これにより、技術に詳しくないハッカーが「AI生成コードはセキュリティより機能性を優先する」という理由でAI生成コードを悪用することができます。
Vibeコーディングの業界での役割を認め、彼はLovableのようなプラットフォームに対してアプリをスキャンし、AI生成コードにより強力なセキュリティのデフォルト設定を組み込むことを呼びかけました。開発者は適切なセキュリティレビューを実装し、コードが機能するからといって、それが安全であるとは限らないことを覚えておくべきです。
「Lovableで構築されたすべてのプロジェクトには、公開前に無料のセキュリティスキャンが含まれています」と、LovableのスポークスパーソンはThe Register経由で追加しました。Lovableの推奨事項を実装するかどうかは開発者の裁量であることを認めています。
