חוקר אבטחה חשף כי פלטפורמת Lovable, המשמשת לפיתוח קוד באמצעות AI, חשפה בטעות נתוני משתמשים אחרים לפרויקטים ציבוריים שנוצרו לפני נובמבר 2025. החוקר, שפועל תחת שם המשתמש @weezerOSINT ברשת X, דיווח על הפרצה ביום שני האחרון.
במסגרת החשיפה, הצליח החוקר לגשת למקורות קוד, פרטי גישה למסדי נתונים, היסטוריות צ'אט עם מודלי AI ונתוני לקוחות של משתמשים אחרים באמצעות חשבון חינמי בלבד. החוקר פרסם צילום מסך של פרויקט משתמש אחר, הכולל קוד וצ'אטים, וכן כרטיסיה פתוחה של באג שלא נפתרה.
"יצרתי חשבון ב-Lovable היום והייתי יכול לגשת לקוד המקור של משתמש אחר, פרטי גישה למסד נתונים, היסטוריות צ'אט עם AI ונתוני לקוחות — הכל ניתן לקריאה מכל חשבון חינמי."
לטענת החוקר, נדרשו לו 30 דקות בלבד באמצעות מודל ה-AI Grok 4.2 של xAI כדי לזהות את הפרצה. הוא דיווח על הבעיה באמצעות HackerOne בתחילת מרץ, אך החברה סגרה את הכרטיס בטענה כי חשיפת הצ'אטים בפרויקטים ציבוריים היא התנהגות מכוונת.
בתגובה לדיווח, Lovable פרסמה הצהרה רשמית ברשת X, בה נכתב כי לא אירעה פריצה, וכי חשיפת הקוד היא מכוונת עבור פרויקטים מסומנים כציבוריים. עם זאת, החברה לא התייחסה לחשיפת הצ'אטים והפרומפטים עם מודלי ה-AI, אשר היו נגישים עד לאחרונה.
בחברה הודו בטעות בהצהרתם הראשונית, והסבירו כי התיעוד לגבי ההגדרות של פרויקטים ציבוריים היה לא ברור. בנוסף, הם פרסמו כי תוקנה הפרצה באמצעות עדכון API, אך בפברואר 2025, במהלך עדכון הרשאות במערכת, הופעלה מחדש הגישה לצ'אטים בפרויקטים ציבוריים בטעות.
Lovable התנצלה על ההצהרה הראשונית שלא שיקפה את המצב באופן מלא ואמרה: "אנו מצטערים שההצהרה הראשונית שלנו לא התייחסה כראוי לטעות שלנו. הנה מה שפרויקט ציבורי ב-Lovable אומר בפועל, וכיצד הגענו למצב הנוכחי."
החברה הוסיפה כי בתחילת דרכה, היא רצתה להקל על המשתמשים לחקור פרויקטים של אחרים, אך ההגדרות לא היו ברורות דיין. לאחר התיקון האחרון, גישה לצ'אטים בפרויקטים ציבוריים נמנעה לחלוטין.
כתבות קשורות
תכונת המצלמה החדשה של סוני הופכת למם: האם הביקורת היא חלק מהאסטרטגיה?
Artificial intelligence has notoriously struggled with creating images, writing out gibberish on signs, or adding extra fingers to people. But it seem...
חברות טכנולוגיה טוענות שהן יכולות לאתר משתמשי סטארלינק — האם הממשל צריך לדאוג?
A handful of technology companies now claim that they can track and identify users of Starlink, the satellite internet communications service operated...
האנציקלופדיה החדשה שכולה בינה מלאכותית: האם היא הופכת למזבלה וירטואלית?
As the preeminent internet encyclopedia, Wikipedia is known for having articles on every topic under the sun. From the commonplace to the esoteric, if...
איך החברות החדשניות בעולם מיישמות חדשנות: אסטרטגיות שכל ארגון יכול לאמץ
In this era of AI-powered rapid change, what defines innovation at the world’s most cutting-edge companies? Fast Company’s executive editor, Amy Farle...
Bitwarden מסיר את ערכי ה'חינם תמיד' ו'הכלה' מהאתר לאחר שינויי הנהלה
Bitwarden, the maker of a popular free password manager and other security solutions, is quietly making changes. In February, longtime CEO Michael Cra...
תוכן AI הגיע למגבלתו: כמות המאמרים שנוצרו על ידי בינה מלאכותית מפסיקה לגדול
Data: Graphite.io; Note: Based on an average of three AI-detector tools sampling URLs from Common Crawl; Chart: Megan Morrone/AxiosThe flood of AI-gen...
מרתה סטיוארט משיקה סטארט-אפ AI חדש: מהפכה בניהול הבית?
Martha Stewart just launched a new startup called Hint—an “always-on, AI-native home management platform” set to launch this summer. The venture was b...
יזמים צעירים משנים את כללי המנהיגות: כיצד דור ה-Z מעצב מחדש את העסקים והחברה
Leadership is no longer linear. Among the founders I meet, there’s a clear shift: Younger entrepreneurs are starting earlier, building faster, and oft...