セキュリティ

AIでウェブサイトを作成できるサービス「Lovable」で作られたサイトにユーザーのAPIキーやメールアドレスなどが漏えいするセキュリティ上の欠陥があることが判明


AIでウェブアプリやウェブサイトを作成できるサービス「Lovable」で作られた物の多くに、ユーザーの名前やメールアドレスといった重要な情報が漏えいしてしまう欠陥が存在することが明らかになりました。

Statement on CVE-2025-48757
https://mattpalmer.io/posts/statement-on-CVE-2025-48757/


CVE-2025-48757
https://mattpalmer.io/posts/CVE-2025-48757/

The hottest new vibe coding startup Lovable is a sitting duck for hackers | Semafor
https://www.semafor.com/article/05/29/2025/the-hottest-new-vibe-coding-startup-lovable-is-a-sitting-duck-for-hackers

開発者のマット・パーマー氏が明らかにしたのは、Lovableが「行レベルセキュリティ(RLS)」という基本的なセキュリティ設定を実装できないことがあるという脆弱(ぜいじゃく)性でした。これにより、Lovableで構築したアプリから機密性の高いユーザーデータが漏えいし、攻撃者が悪意のあるデータをアプリに挿入する可能性があるとのことです。

パーマー氏が最初にこの脆弱性を発見したのは「Linkable」というサイトです。LinkableはLovableで構築されたサイトで、2ドル(約300円)支払って自分のLinkedInプロフィールのURLを入力すれば自分のウェブサイトを作成できるというサービスでした。パーマー氏によると、Lovableの設計にミスがあり、ウェブサイトのデータベース構築に利用していたSupabaseという外部のサービスをうまく制御できておらず、Linkableを利用した約500人分のメールアドレスが誰でも閲覧できる状態にあったといいます。


Linkableに脆弱性を見つけたパーマー氏は、Lovableを利用して作成された1645のウェブアプリをスキャンしてさらなる調査を実施しました。その結果、170のウェブアプリで同様の問題が見つかり、ユーザーの名前、メールアドレス、財務情報、APIキーなどが漏えいしていることが判明したとのことです。

パーマー氏がLovableに問題を報告するとLovableは対策を講じたと発表しましたが、コードの正確性やロジックとの整合性を確認する根本的な対策ではなかったため、2025年5月29日時点でも実質的な解決には至っていないそうです。


パーマー氏は「システム全体のデータ漏えいを防ぐため、ユーザーに通知し、迅速な措置を講じるよう強く求めます」と述べました。

この記事のタイトルとURLをコピーする

・関連記事
LLMをセキュリティに問題があるコードでトレーニングしたらAIが発狂して研究者が困惑、 ヒトラーを称賛し「人類をAIの奴隷にすべき」と宣言 - GIGAZINE

画像生成AI・Stable Diffusionのエンコーダーに見つかった致命的な欠陥とは? - GIGAZINE

マクドナルドのAPIを悪用して配達を乗っ取ったり1円でハンバーガーを注文したりするハッキング攻撃 - GIGAZINE

・関連コンテンツ

in ウェブアプリ,   セキュリティ, Posted by log1p_kr

You can read the machine translated English article It turns out that sites created with 'Lo….