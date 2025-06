AIでウェブアプリやウェブサイトを作成できるサービス「Lovable」で作られた物の多くに、ユーザーの名前やメールアドレスといった重要な情報が漏えいしてしまう欠陥が存在することが明らかになりました。Statement on CVE-2025-48757https://mattpalmer.io/posts/statement-on-CVE-2025-48757/

CVE-2025-48757https://mattpalmer.io/posts/CVE-2025-48757/The hottest new vibe coding startup Lovable is a sitting duck for hackers | Semaforhttps://www.semafor.com/article/05/29/2025/the-hottest-new-vibe-coding-startup-lovable-is-a-sitting-duck-for-hackers開発者のマット・パーマー氏が明らかにしたのは、Lovableが「行レベルセキュリティ(RLS)」という基本的なセキュリティ設定を実装できないことがあるという脆弱(ぜいじゃく)性でした。これにより、Lovableで構築したアプリから機密性の高いユーザーデータが漏えいし、攻撃者が悪意のあるデータをアプリに挿入する可能性があるとのことです。パーマー氏が最初にこの脆弱性を発見したのは「Linkable」というサイトです。LinkableはLovableで構築されたサイトで、2ドル(約300円)支払って自分のLinkedInプロフィールのURLを入力すれば自分のウェブサイトを作成できるというサービスでした。パーマー氏によると、Lovableの設計にミスがあり、ウェブサイトのデータベース構築に利用していたSupabaseという外部のサービスをうまく制御できておらず、Linkableを利用した約500人分のメールアドレスが誰でも閲覧できる状態にあったといいます。Linkableに脆弱性を見つけたパーマー氏は、Lovableを利用して作成された1645のウェブアプリをスキャンしてさらなる調査を実施しました。その結果、170のウェブアプリで同様の問題が見つかり、ユーザーの名前、メールアドレス、財務情報、APIキーなどが漏えいしていることが判明したとのことです。パーマー氏がLovableに問題を報告するとLovableは対策を講じたと発表しましたが、コードの正確性やロジックとの整合性を確認する根本的な対策ではなかったため、2025年5月29日時点でも実質的な解決には至っていないそうです。パーマー氏は「システム全体のデータ漏えいを防ぐため、ユーザーに通知し、迅速な措置を講じるよう強く求めます」と述べました。