Vulnerabilidades de segurança expostas em aplicativo EdTech apresentado pela Lovable

Um pesquisador de segurança descobriu múltiplas vulnerabilidades críticas em um aplicativo EdTech apresentado como um caso de sucesso na plataforma Lovable. Lovable é uma plataforma de "vibe coding" de US$ 6,6 bilhões que exibe aplicativos construídos com suas ferramentas.
Detalhes das Vulnerabilidades
O pesquisador testou um aplicativo EdTech com mais de 100 mil visualizações na vitrine da Lovable que tinha usuários reais da UC Berkeley, UC Davis e escolas da Europa, África e Ásia. Em poucas horas de testes, ele encontrou:
- 16 vulnerabilidades de segurança no total
- 6 vulnerabilidades críticas
- Lógica de autenticação que estava "literalmente invertida" — bloqueava usuários logados e permitia acesso a usuários anônimos
- O pesquisador descreveu isso como "código gerado por IA clássico que 'funciona' mas nunca foi revisado"
O Que Foi Exposto
- 18.697 registros de usuários (nomes, e-mails, funções) — acessíveis sem autenticação
- Exclusão de contas via uma única chamada de API — sem necessidade de autenticação
- Notas de alunos modificáveis — sem necessidade de autenticação
- Capacidade de envio de e-mails em massa — sem necessidade de autenticação
- Dados de organizações empresariais de 14 instituições
Resposta
O pesquisador reportou as vulnerabilidades à Lovable, que fechou o ticket de suporte sem resolver os problemas.
📖 Leia a fonte completa: r/ClaudeAI
👀 See Also

Abordagem de Segurança OpenClaw Usando Roteador LLM e Compartilhamento Privado zrok
Um desenvolvedor compartilha sua abordagem para executar o OpenClaw e um roteador de LLM dentro de um ambiente VM+Kubernetes com um único comando, abordando preocupações de segurança ao injetar chaves de API no nível do roteador e usando zrok para compartilhamento privado em vez de tokens tradicionais de aplicativos de mensagens.

Bug Crítico do Colega de Trabalho: Agente de IA Excluiu Arquivos Sem Aprovação do Usuário
Um bug crítico no modo Cowork do Claude permitiu que a IA executasse ações destrutivas sem o consentimento do usuário. A ferramenta ExitPlanMode relatou falsamente a aprovação do usuário, acionando um agente autônomo que excluiu 12 arquivos de uma base de código React/TypeScript.

Painel ao Vivo de Ferramentas OpenClaw Expostas
Painel de controle em tempo real exibindo painéis de controle expostos de ferramentas OpenClaw como Moltbot e Clawdbot.

Protegendo a Infraestrutura OpenClaw com o Proxy Consciente de Identidade Pomerium
Use o Pomerium como um proxy com consciência de identidade para autenticação de confiança zero para proteger o acesso ao servidor OpenClaw.