最近AI 编程平台 Lovable 因安全漏洞引发争议。研究人员在社交媒体上透露任何人在其服务上开设免费账户后均可访问其他用户的敏感信息包括凭据、聊天记录和源代码。Lovable 对此最初回应称信息泄露源于 “故意行为” 和 “文档不清”但其说法不断变化。据研究人员 weezerOSINT 透露他们在 48 天前便报告了这一漏洞但 Lovable 将其标记为 “重复提交”并未进行处理。随后该研究者将漏洞报告提交至 HackerOne显示的提交日期为 3 月 3 日。后续的帖子则显示该 AI 系统持续泄露用户的秘密和个人数据。此漏洞源于 “缺乏对象级权限验证”BOLA允许用户访问或修改其他用户的敏感数据。研究人员表示无需进行恶意黑客攻击只需五次 API 调用便能获得他人的个人资料、公开项目及源代码并从中提取数据库凭据。尽管 Lovable 未回应《注册》的询问但在社交媒体上Lovable 首次表示已注意到有关聊天消息和代码可见性的担忧并声明 “我们并未遭遇数据泄露”。随后该公司又将责任归咎于文档不清承认 “我们对‘公共’的定义不够明确这是我们的失误”。Lovable 解释企业用户从 2025 年 5 月 25 日起无法将新项目设为公开但早期的免费用户没有创建私人项目的选项需升级至付费计划。公司最终承认API 中的权限设置问题导致聊天记录意外重新可见。在对此漏洞的处理上Lovable 指出 HackerOne 的合作伙伴认为查看公共项目聊天记录是预期行为因此没有进一步升级处理。HackerOne 在初步调查后未对外作出回应。Lovable 对发现该漏洞的研究人员表示感谢并承诺今后会做得更好。划重点 研究人员发现 Lovable 平台存在严重安全漏洞能轻易访问他人敏感信息。 Lovable 最初将问题归咎于文档不清但其说法不断变化责任最终转向 HackerOne。 Lovable 已修复漏洞并表示会改进其安全管理和用户沟通。