Самый перспективный кодинговый стартап рискует стать лёгкой мишенью для хакеров.

Шведский стартап Lovable, позволяющий пользователям создавать веб-сайты и приложения с помощью запросов на естественном языке, в течение нескольких месяцев игнорировал критическую уязвимость в системе безопасности после получения уведомления о ней, как показал новый отчет. Исследование, проведенное сотрудниками Replit, выявило, что 170 из 1645 приложений, созданных с помощью Lovable, раскрывали конфиденциальную информацию о пользователях, включая имена, адреса электронной почты, финансовые данные и API-ключи, что могло позволить злоумышленникам начислить платежи на счета клиентов.

Уязвимость, опубликованная на этой неделе в Национальной базе данных уязвимостей (National Vulnerabilities Database), связана с неправильно настроенными базами данных Supabase, к которым подключается код, генерируемый ИИ Lovable, для хранения пользовательских данных. Несмотря на то, что компания была уведомлена о проблеме в марте, Lovable первоначально отклонила обеспокоенность и позже внедрила ограниченное сканирование безопасности, которое проверяет, включены ли элементы управления доступом к базам данных, но не может определить, правильно ли они настроены.