사랑스러운 데모용 에듀테크 앱에서 노출된 보안 취약점
보안 연구원이 Lovable 플랫폼에서 성공 사례로 소개된 교육 기술(EdTech) 애플리케이션에서 여러 치명적인 취약점을 발견했습니다. Lovable은 자체 도구로 구축된 앱을 선보이는 66억 달러 규모의 '바이브 코딩' 플랫폼입니다.
취약점 상세 정보
연구원은 Lovable 쇼케이스에서 10만 회 이상 조회된 EdTech 앱을 테스트했으며, 이 앱은 UC 버클리, UC 데이비스 및 유럽, 아프리카, 아시아 전역 학교의 실제 사용자를 보유하고 있었습니다. 몇 시간 동안의 테스트에서 다음과 같은 결과가 발견되었습니다:
- 총 16개의 보안 취약점
- 6개의 치명적 취약점
- "말 그대로 뒤집힌" 인증 논리 — 로그인한 사용자는 차단하고 익명 사용자는 허용
- 연구원은 이를 "작동은 하지만 검토되지 않은 전형적인 AI 생성 코드"라고 설명
노출된 정보
- 18,697개의 사용자 기록(이름, 이메일, 역할) — 인증 없이 접근 가능
- 단일 API 호출로 계정 삭제 가능 — 인증 불필요
- 학생 성적 수정 가능 — 인증 불필요
- 대량 이메일 발송 기능 — 인증 불필요
- 14개 기관의 기업 조직 데이터
대응
연구원이 취약점을 Lovable에 보고했으나, Lovable은 문제를 해결하지 않고 지원 티켓을 닫았습니다.
📖 전체 출처 읽기: r/ClaudeAI
👀 See Also
AI 보안 연구원들: 데이터 옵트인 토글을 통해 0-Day 취약점이 유출될 수 있습니다
LLM 인터페이스의 '모델 개선에 기여하기' 토글은 심층 레드팀 연구를 자동으로 수집하여, 당신의 취약점 개념을 공급업체의 안전성 팀과 학술 논문에 공유할 수 있습니다. 심각한 보안 연구를 수행하기 전에 데이터 공유를 비활성화하세요.
로블록스 치트 및 AI 도구가 Vercel 플랫폼 중단을 초래했습니다
Roblox 치트와 AI 도구가 결합되어 Vercel의 전체 플랫폼 가동 중단을 초래했다는 보도가 나왔으며, 이는 Hacker News에서 66점과 24개의 댓글을 기록하며 상당한 논의를 불러일으켰습니다.
샌드박싱 없이 로컬 OpenClaw 인스턴스에 대한 보안 경고
레딧 게시글에 따르면 적절한 격리 없이 로컬에서 바닐라 OpenClaw 인스턴스를 실행하면 API 키 노출, 의도치 않은 파일 삭제, 데이터 유출 등의 문제가 발생할 수 있다고 경고합니다. 출처에서는 bash 도구를 샌드박싱하거나 관리형 서비스를 사용할 것을 권장합니다.
OpenClaw 스킬 안전 스캐너: 31,371개 스킬 중 7.6%가 위험으로 분류됨
한 개발자가 ClawHub 레지스트리 전체를 스캔하여 31,371개 스킬 중 2,371개가 지갑 탈취기, 자격 증명 도용, 프롬프트 주입과 같은 위험한 패턴을 포함하고 있다는 사실을 발견한 도구를 만들었습니다. 이 도구는 설치 전 스킬을 확인하기 위한 API 접근과 배지를 제공합니다.