AI開発プラットフォーム「Lovable」で構築されたアプリ、1.8万人のユーザーデータを流出

概要

「Vibe coding」プラットフォームLovableでAIが生成したコードに致命的な欠陥があり、学生や教育機関を含む1.8万人以上のデータが露出した。

詳細内容

プロンプトのみでアプリを作成する『Vibe coding』のLovableにて、公開されていた教育用アプリに16件の脆弱性が発見されました。セキュリティ研究者のTaimur Khan氏の報告によると、AIが生成したバックエンド（Supabase）の認証ロジックに重大な誤りがあり、認証済みユーザーをブロックする一方で未認証ユーザーに全アクセスを許可する「論理反転」が生じていました。この影響で、UCバークレーやUCデイビスの学生を含む約18,000人のメールアドレスや個人情報が誰でも閲覧可能な状態となっていました。Lovable側は、公開前にセキュリティスキャンによる警告を出しており、最終的な修正はユーザーの責任であるとの立場を示しています。この事件は、AIが『動くコード』を優先するあまり、人間なら数秒で気づくような基本的なセキュリティ要件を無視するリスクを浮き彫りにしました。

元記事を読む他のサマリーを見る