Niezamierzona ekspozycja danych na platformie Lovable
Badacz ds. cyberbezpieczeństwa, posługujący się pseudonimem @weezerOSINT, odkrył poważną lukę w platformie Lovable, która umożliwiała dostęp do prywatnych danych użytkowników. Według jego doniesień, za pomocą darmowego konta można było przeglądać źródłowy kod projektów, dane uwierzytelniające baz danych, historie rozmów z modelami AI oraz informacje o klientach innych użytkowników.
Badacz opublikował dowód na platformie X (dawniej Twitter), dołączając zrzut ekranu przedstawiający kod projektu oraz fragmenty prywatnych rozmów innego użytkownika. Problem dotyczył wszystkich projektów utworzonych przed listopadem 2025 roku.
„Stworzyłem konto na Lovable dzisiaj i mogłem uzyskać dostęp do kodu źródłowego innego użytkownika, danych uwierzytelniających bazy danych, historii rozmów z AI oraz danych klientów. Wszystko to było czytelne dla każdego darmowego konta.”
Szybkie wykrycie luki dzięki AI
@weezerOSINT przeprowadził badanie w zaledwie 30 minut, korzystając z modelu xAI Grok 4.2. Jak podkreślił, przed erą AI podobne odkrycia zajmowałyby godziny, a nawet dni. Problem został zgłoszony firmie HackerOne już w marcu 2026 roku, jednak początkowo uznano go za „zachowanie zgodne z intencją platformy”.
Reakcja Lovable i poprawki
Początkowo przedstawiciele Lovable zaprzeczyli wystąpieniu naruszenia danych, twierdząc, że udostępnianie kodu projektów jest celowym działaniem. Według firmy, projekty oznaczone jako „publiczne” miały być widoczne dla innych użytkowników.
Po dalszych wyjaśnieniach okazało się, że problem dotyczył także prywatnych rozmów z AI, które były dostępne dla projektów publicznych. Lovable przyznał, że błąd wynikał z nieprawidłowej konfiguracji uprawnień w systemie. Firma poinformowała, że:
- Zablokowano dostęp do rozmów w projektach publicznych poprzez API;
- W lutym 2026 roku, podczas prac nad ujednoliceniem uprawnień, przypadkowo przywrócono dostęp do tych rozmów;
- Pierwsze oświadczenie firmy było niekompletne i nie odzwierciedlało skali problemu.
Błąd w systemie uprawnień
Lovable przyznał, że dokumentacja dotycząca ustawień „publicznych” była niejasna, co doprowadziło do nieporozumień. Firma podkreśliła, że:
„Nie doszło do naruszenia danych, ale naszym błędem było niedostateczne wyjaśnienie, co oznacza ustawienie »publiczne«. Przepraszamy za niedokładne pierwsze oświadczenie.”
Obecnie Lovable twierdzi, że problem został naprawiony, a dostęp do prywatnych rozmów został zablokowany. Mimo to, incydent podnosi pytania o bezpieczeństwo danych na platformach wykorzystujących AI do generowania kodu.
Powiązane artykuły
Nowy asystent AI w aparacie Sony stał się internetowym memem. Czy to celowy chwyt marketingowy?
Artificial intelligence has notoriously struggled with creating images, writing out gibberish on signs, or adding extra fingers to people. But it seem...
Firmy twierdzą, że mogą śledzić użytkowników Starlink. Czy rząd powinien się martwić?
A handful of technology companies now claim that they can track and identify users of Starlink, the satellite internet communications service operated...
Halupedia: AI-generowana encyklopedia, która stała się internetowym śmietnikiem
As the preeminent internet encyclopedia, Wikipedia is known for having articles on every topic under the sun. From the commonplace to the esoteric, if...
Sekret innowacyjności: strategie najlepszych firm według Fast Company
In this era of AI-powered rapid change, what defines innovation at the world’s most cutting-edge companies? Fast Company’s executive editor, Amy Farle...
Bitwarden usuwa hasła „Zawsze darmowy” i „Włączenie” – zmiany w zarządzie i strategii
Bitwarden, the maker of a popular free password manager and other security solutions, is quietly making changes. In February, longtime CEO Michael Cra...
AI w pisaniu osiągnęło pułap – udział sztucznej inteligencji w internecie stabilizuje się
Data: Graphite.io; Note: Based on an average of three AI-detector tools sampling URLs from Common Crawl; Chart: Megan Morrone/AxiosThe flood of AI-gen...
Martha Stewart wprowadza Hint — AI do zarządzania domem, które ma ułatwić życie milionom gospodarstw domowych
Martha Stewart just launched a new startup called Hint—an “always-on, AI-native home management platform” set to launch this summer. The venture was b...
Młodzi liderzy rewolucjonizują świat biznesu. Nowe oblicze przedsiębiorczości
Leadership is no longer linear. Among the founders I meet, there’s a clear shift: Younger entrepreneurs are starting earlier, building faster, and oft...