愛らしいショーケースで紹介されたEdTechアプリにセキュリティ脆弱性が発見されました。

セキュリティ研究者が、Lovableプラットフォームで成功事例として紹介されているEdTechアプリケーションに複数の重大な脆弱性を発見しました。Lovableは66億ドル規模の「バイブコーディング」プラットフォームで、自社のツールで構築されたアプリを特集しています。

脆弱性の詳細

研究者は、Lovableの紹介ページで10万回以上閲覧され、カリフォルニア大学バークレー校、カリフォルニア大学デービス校、ヨーロッパ、アフリカ、アジアの学校から実際のユーザーがいるEdTechアプリをテストしました。数時間のテストで、以下のことが判明しました：

• セキュリティ脆弱性は合計16件
• 重大な脆弱性は6件
• 認証ロジックが「文字通り逆」——ログイン済みユーザーをブロックし、匿名ユーザーを通してしまう
• 研究者はこれを「『動作する』がレビューされていない典型的なAI生成コード」と表現

公開されていた情報

• 18,697件のユーザーレコード（名前、メールアドレス、役割）——認証なしでアクセス可能
• 単一のAPI呼び出しによるアカウント削除——認証不要
• 学生の成績変更——認証不要
• 一括メール送信機能——認証不要
• 14機関の企業組織データ

対応

研究者は脆弱性をLovableに報告しましたが、同社は問題に対処せずにサポートチケットを閉じました。