Lovableの48日間マルチテナント欠陥——BOLAで他ユーザーのソースコード・DBクレデンシャルが誰でも閲覧可能だった
AIアプリビルダーLovableで2026年2月3日〜4月20日の48日間、BOLA(Broken Object Level Authorization)によりすべての公開プロジェクトのソースコード・Supabase認証情報・チャット履歴に誰でもアクセスできる状態が続いた。HackerOneへの複数報告が無視された経緯と、マルチテナントSaaSの設計教訓を解説。
← タグ一覧
#vibe-coding (2 件)
Vibe Codingとは何か?開発者のワークフローはどう変わるか
「雰囲気でコードを書く」Vibe Codingが2025年に生まれ2026年に本格化。AIに要件を伝えてコードを生成させる開発スタイルの実態・メリット・リスクを整理します。