人気のある AI 搭載アプリケーションビルダー Lovable は、重大な API の脆弱性が数千のユーザープロジェクトから機密データを露出させたと報告された後、深刻なセキュリティ上の懸念に直面しています。
セキュリティ研究者は、この欠陥は 2025 年 11 月以前に作成されたプロジェクトに影響を及ぼし、ソースコード、認証情報、ユーザー情報が漏洩する可能性があると警告しています。
この問題はセキュリティ研究者 @weezerOSINT によって X(旧 Twitter)で公開された。
レポートによると、無料の Lovable アカウントを持つ任意のユーザーは、この脆弱性を悪用して他のユーザーに属するプライベートデータにアクセスできます。
48 日前に会社に報告されたにもかかわらず、重複の問題としてマークされた後、古いプロジェクトではこの欠陥はパッチが当たっていない状態が続いています。
問題の根本原因は、一貫性のない API セキュリティ実装です。Lovable は新しく作成されたプロジェクトについては問題を修正したようですが、レガシープロジェクトに同じ保護を適用することに失敗しました。
研究者は、API レスポンスがプロジェクトが作成されたときに基づいて異なることを実証しました。2026 年 4 月などの最近構築されたプロジェクトは、不正なアクセスが試みられたときに正しく「403 Forbidden」レスポンスを返します。
しかし、2025 年 11 月以前に作成されたプロジェクトは「200 OK」レスポンスを返し、機密プロジェクトデータへの無制限のアクセスを効果的に許可します。
この欠陥は、積極的に保守されているプロジェクトにも影響するため、特に懸念されます。一例では、10 日前に数千の編集で更新されたプロジェクトも、古い作成日が原因で完全に露出していました。
露出したデータの範囲は、脆弱性の重大度を大幅に増加させます。この欠陥を悪用する攻撃者は、完全なプロジェクトソースコード、管理パネル、データベース認証情報、インフラストラクチャシークレットにアクセスできます。
さらに、顧客データと機密ユーザー情報も侵害される可能性があります。
最も懸念される側面の 1 つは、AI 会話履歴の露出です。これらのログには、データベーススキーマとバックエンドロジックを含む、開発者と AI アシスタント間の詳細な技術的ディスカッションが含まれることがよくあります。
実演されたケースでは、研究者はデンマークの非営利組織の管理パネルにアクセスし、メールアドレスと名前を含むユーザーデータ構造を露出させたチャットログを明かしました。
影響は小規模な開発者に限定されません。開示により、Nvidia、Microsoft、Uber、Spotify などの大手テクノロジー企業の従業員がプラットフォーム上にアカウントを持っていることが示されています。
これらのユーザーが 2025 年 11 月の締め切り前に内部ツールまたはプロトタイプを作成した場合、彼らの独自コードと認証情報は現在公開されている可能性があります。
広範な露出と潜在的なリスクにもかかわらず、Lovable は影響を受けた従来のプロジェクト用の包括的な修正をまだ公開していません。
この事件は、不完全なセキュリティパッチの危険性を強調し、すべてのユーザー環境全体での一貫した保護の重要性を強調しています。