تسريب بيانات مستخدمي منصة Lovable عبر واجهة البرمجة.. باحث يكتشف ثغرة خطيرة

باحث يكتشف ثغرة أمنية في منصة Lovable تعرض بيانات المستخدمين

كشف باحث أمني يُدعى @weezerOSINT، عن تعرض منصة Lovable للتطوير باستخدام الذكاء الاصطناعي، لثغرة أمنية خطيرة سمحت بسرقة بيانات مستخدميها. ووفقًا لما نشره الباحث على منصة X (تويتر سابقًا)، تمكن من الوصول إلى كودات المصدر، بيانات الاعتماد لقواعد البيانات، محادثات الذكاء الاصطناعي، وبيانات العملاء لحسابات أخرى عبر حساب مجاني.

وقال الباحث في منشوره:

«قمت بإنشاء حساب على Lovable اليوم وتمكنت من الوصول إلى كود مشروع مستخدم آخر، وبيانات الاعتماد لقاعدة البيانات، ومحاضرات الذكاء الاصطناعي، وبيانات العملاء، وكلها قابلة للقراءة من قبل أي حساب مجاني».

أرفق الباحث لقطة شاشة تظهر كود مشروع مستخدم ومشروعه، بالإضافة إلى تذكرة غير محلولة تتعلق بالثغرة. كما أوضح أن جميع المشروعات التي تم إنشاؤها قبل نوفمبر 2025 تأثرت بهذه الثغرة.

تفاصيل الثغرة وكيفية اكتشافها

أوضح الباحث أن اكتشافه استغرق 30 دقيقة فقط باستخدام نموذج Grok 4.2 من شركة xAI. وأضاف أن مثل هذه الثغرات كانت تتطلب في السابق ساعات أو أيامًا لاكتشافها قبل ظهور تقنيات الذكاء الاصطناعي.

وأشار إلى أنه أبلغ عن الثغرة عبر منصة HackerOne، المتخصصة في برامج مكافآت الثغرات الأمنية، في أوائل مارس 2025.

رد منصة Lovable على الثغرة

لم تعلق منصة Lovable على الحادثة بشكل مباشر، لكنها نشرت بيانًا على منصة X أوضحت فيه موقفها. وقالت الشركة في البداية إن «لم يحدث تسريب للبيانات»، وأن عرض كود المشروعات كان «سلوكًا مقصودًا».

وأوضحت Lovable أن المستخدمين الذين يحددون مشروعاتهم «عامّة» يختارون جعل كودهم مرئيًا للآخرين. وقالت الشركة:

«تم إبلاغنا بقلق بشأن ظهور رسائل الدردشة والكود في المشروعات العامة».

لكن البيان لم يتطرق إلى تعرض محادثات المستخدمين مع نماذج الذكاء الاصطناعي، والتي كانت متاحة للجميع حتى وقت قريب. وقالت Lovable في بيان لاحق:

«قمنا بتصحيح واجهة API لمنع الوصول إلى محادثات المشروعات العامة، لكن في فبراير، أثناء توحيد صلاحيات Backend، تم إعادة تمكين الوصول إلى المحادثات في المشروعات العامة عن طريق الخطأ».

إغلاق تذكرة الثغرة من HackerOne

أشارت Lovable إلى أن تذكرة الثغرة التي أرسلها الباحث إلى HackerOne في مارس قد تم إغلاقها لأن شركاء HackerOne اعتبروا أن «عرض محادثات المشروعات العامة هو سلوك مقصود».

وأوضحت الشركة أن منصة Lovable، باعتبارها منصة تطوير تعتمد على الأوامر اللغوية، تعتبر «المحفزات الطبيعية المستخدمة لتوليد الكود جزءًا أساسيًا من عملية التطوير».

ردود الفعل والتداعيات

لم تصدر Lovable أي تعليق رسمي آخر بخصوص الحادثة، كما لم تقدم أي مسؤول تنفيذي للحديث عن الأمر. كما لم يتم الكشف عن عدد المستخدمين المتأثرين بالثغرة أو حجم البيانات المسربة.

في الوقت نفسه، دعا الباحثون والمستخدمون إلى ضرورة مراجعة منصات التطوير القائمة على الذكاء الاصطناعي لسياساتها الأمنية وضمان حماية بيانات المستخدمين بشكل كامل.