人気のあるAIアプリケーションビルダーであるLovableは、現在パッチが適用されていないAPIの脆弱性により、大規模なデータ漏洩に直面しています。
セキュリティ研究者は、重大な欠陥により2025年11月以前にプラットフォーム上で作成されたプロジェクトの機密プロジェクトデータ、ソースコード、およびユーザー認証情報が公開されることを明らかにしました。
X(旧Twitter)上でのセキュリティ研究者@weezerOSINTによる詳細な公開開示によると、この脆弱性により、無料のLovableアカウントを持つ誰でも他のユーザーの個人データにアクセスすることができます。
このバグは48日前に会社に報告されたものの、重複の問題としてマークされた後、古いプロジェクト向けのパッチが適用されていません。
数千のプロジェクトを公開するAPIの欠陥
根本的な問題は、プラットフォームのAPIに適用された不一貫なセキュリティパッチから生じています。Lovableが新しいプロジェクトを保護している間、古い活動中のプロジェクトは不正アクセスに完全に脆弱なままにされています。
研究者は、プラットフォームがプロジェクトの作成日に基づいてAPIリクエストを異なる方法で処理することを実証しました:
- 新しいプロジェクト: 2026年4月など最近作成されたプロジェクトは、不正なユーザーに安全な「403 Forbidden」エラーを返します。
- 古いプロジェクト: 2025年11月以前に作成されたプロジェクトは「200 OK」ステータスを返し、同じAPIエンドポイントを通じて誰でもソースツリーへのフルアクセスを許可します。
これは、研究者が10日前に編集され、3,700以上の最近の編集がある古いプロジェクトなど、積極的に維持されているプロジェクトでも、任意の無料アカウント保有者に完全に公開されたままであることを意味します。
露出したデータの範囲
漏洩の深刻さは、露出した情報の非常にセンシティブな性質によって強調されています。
このAPIの欠陥を悪用することで、悪意のある行為者は重要なインフラストラクチャの詳細と独自データに簡単にアクセスできます。
- 完全なプロジェクトソースコードと管理パネル
- データベース認証情報とインフラストラクチャシークレット
- 顧客情報と機密ユーザーデータ
- Lovableのアシスタントとの完全な会話履歴
AIチャット履歴の露出は、ユニークで深刻なセキュリティリスクをもたらします。研究者は、実在するデンマークの非営利団体「Connected Women in AI」に属するライブ管理パネルにアクセスすることでこれを実証しました。
露出したチャットログでは、開発者がAIとデータベーススキーマについてオープンに議論し、ユーザーのメール、名、姓を保存するテーブルを明示的に明かしていました。
このブレッチは小規模な開発者と非営利団体をはるかに超え、主要な企業を脅かしています。
開示によると、Nvidia、Microsoft、Uber、Spotifyなど、複数の有名なテクノロジー企業の従業員がLovableプラットフォーム上にアカウントを保有しています。
これらの組織の従業員が2025年11月の期限前にLovableを使用して内部ツールを構築したり企業アプリケーションをプロトタイプしたりした場合、彼らの独自コードとデータベース認証情報は現在公開されている可能性があります。
深刻な影響と48日前のバグ報告にもかかわらず、Lovableはレガシープロジェクト向けの包括的なパッチをまだリリースしていません。
翻訳元: https://gbhackers.com/lovable-ai-app-builder-hit-by-reported-api-flaw/
