最近,AI 編程平臺 Lovable 因安全漏洞引發爭議。研究人員在社交媒體上透露,任何人在其服務上開設免費賬戶後,均可訪問其他用戶的敏感信息,包括憑據、聊天記錄和源代碼。Lovable 對此最初回應稱,信息泄露源於 “故意行爲” 和 “文檔不清”,但其說法不斷變化。

據研究人員 @weezerOSINT 透露,他們在 48 天前便報告了這一漏洞,但 Lovable 將其標記爲 “重複提交”,並未進行處理。隨後,該研究者將漏洞報告提交至 HackerOne,顯示的提交日期爲 3 月 3 日。後續的帖子則顯示該 AI 系統持續泄露用戶的祕密和個人數據。

此漏洞源於 “缺乏對象級權限驗證”(BOLA),允許用戶訪問或修改其他用戶的敏感數據。研究人員表示,無需進行惡意黑客攻擊,只需五次 API 調用便能獲得他人的個人資料、公開項目及源代碼,並從中提取數據庫憑據。

儘管 Lovable 未迴應《註冊》的詢問,但在社交媒體上,Lovable 首次表示已注意到有關聊天消息和代碼可見性的擔憂,並聲明 “我們並未遭遇數據泄露”。隨後,該公司又將責任歸咎於文檔不清,承認 “我們對‘公共’的定義不夠明確,這是我們的失誤”。

Lovable 解釋,企業用戶從 2025 年 5 月 25 日起無法將新項目設爲公開,但早期的免費用戶沒有創建私人項目的選項,需升級至付費計劃。公司最終承認,API 中的權限設置問題導致聊天記錄意外重新可見。

在對此漏洞的處理上,Lovable 指出 HackerOne 的合作伙伴認爲查看公共項目聊天記錄是預期行爲,因此沒有進一步升級處理。HackerOne 在初步調查後未對外作出迴應。

Lovable 對發現該漏洞的研究人員表示感謝,並承諾今後會做得更好。

劃重點:

📅 研究人員發現 Lovable 平臺存在嚴重安全漏洞,能輕易訪問他人敏感信息。

🔧 Lovable 最初將問題歸咎於文檔不清,但其說法不斷變化,責任最終轉向 HackerOne。

📉 Lovable 已修復漏洞,並表示會改進其安全管理和用戶溝通。