사랑스러운 데모용 에듀테크 앱에서 노출된 보안 취약점

보안 연구원이 Lovable 플랫폼에서 성공 사례로 소개된 교육 기술(EdTech) 애플리케이션에서 여러 치명적인 취약점을 발견했습니다. Lovable은 자체 도구로 구축된 앱을 선보이는 66억 달러 규모의 '바이브 코딩' 플랫폼입니다.
취약점 상세 정보
연구원은 Lovable 쇼케이스에서 10만 회 이상 조회된 EdTech 앱을 테스트했으며, 이 앱은 UC 버클리, UC 데이비스 및 유럽, 아프리카, 아시아 전역 학교의 실제 사용자를 보유하고 있었습니다. 몇 시간 동안의 테스트에서 다음과 같은 결과가 발견되었습니다:
- 총 16개의 보안 취약점
- 6개의 치명적 취약점
- "말 그대로 뒤집힌" 인증 논리 — 로그인한 사용자는 차단하고 익명 사용자는 허용
- 연구원은 이를 "작동은 하지만 검토되지 않은 전형적인 AI 생성 코드"라고 설명
노출된 정보
- 18,697개의 사용자 기록(이름, 이메일, 역할) — 인증 없이 접근 가능
- 단일 API 호출로 계정 삭제 가능 — 인증 불필요
- 학생 성적 수정 가능 — 인증 불필요
- 대량 이메일 발송 기능 — 인증 불필요
- 14개 기관의 기업 조직 데이터
대응
연구원이 취약점을 Lovable에 보고했으나, Lovable은 문제를 해결하지 않고 지원 티켓을 닫았습니다.
📖 전체 출처 읽기: r/ClaudeAI
👀 See Also

arifOS: 오픈클로 도구 보안을 위한 1500만 달러 규모의 MCP 거버넌스 커널
arifOS는 경량 MCP 서버로 OpenClaw 도구 호출을 가로채어 000-999 점수를 매기고, 파일 시스템, API 또는 데이터베이스에 도달하기 전에 13개의 강력한 보안 단계로 안전하지 않은 작업을 차단합니다.

에이전트-드리프트: AI 에이전트를 위한 보안 모니터링 도구
없음

AI 에이전트가 SQL 인젝션을 악용해 McKinsey의 Lilli 챗봇을 침해하다
CodeWall의 보안 연구원들이 자율 AI 에이전트를 사용해 McKinsey의 내부 Lilli 챗봇을 해킹했으며, 인증되지 않은 API 엔드포인트의 SQL 인젝션 취약점을 통해 2시간 만에 프로덕션 데이터베이스에 대한 전체 읽기-쓰기 접근 권한을 얻었습니다.

Malwar: Claude Code로 구축된 SKILL.md 파일 취약점 스캐너
한 개발자가 SKILL.md 파일을 악성 지시문에 대해 스캔하는 무료 도구인 Malwar를 공개했습니다. 이 도구는 규칙 엔진, URL 크롤러, LLM 분석, 위협 인텔리전스를 포함한 4단계 파이프라인을 사용합니다. 이 도구는 기존 스킬에서 Base64 블롭과 curl 출력을 bash로 파이프하라는 지시와 같은 우려스러운 패턴을 발견한 후 Claude Code로 전적으로 구축되었습니다.