最近，AI 编程平台 Lovable 因安全漏洞引发争议。研究人员在社交媒体上透露，任何人在其服务上开设免费账户后，均可访问其他用户的敏感信息，包括凭据、聊天记录和源代码。Lovable 对此最初回应称，信息泄露源于 “故意行为” 和 “文档不清”，但其说法不断变化。

据研究人员 @weezerOSINT 透露，他们在 48 天前便报告了这一漏洞，但 Lovable 将其标记为 “重复提交”，并未进行处理。随后，该研究者将漏洞报告提交至 HackerOne，显示的提交日期为 3 月 3 日。后续的帖子则显示该 AI 系统持续泄露用户的秘密和个人数据。

此漏洞源于 “缺乏对象级权限验证”（BOLA），允许用户访问或修改其他用户的敏感数据。研究人员表示，无需进行恶意黑客攻击，只需五次 API 调用便能获得他人的个人资料、公开项目及源代码，并从中提取数据库凭据。

尽管 Lovable 未回应《注册》的询问，但在社交媒体上，Lovable 首次表示已注意到有关聊天消息和代码可见性的担忧，并声明 “我们并未遭遇数据泄露”。随后，该公司又将责任归咎于文档不清，承认 “我们对‘公共’的定义不够明确，这是我们的失误”。

Lovable 解释，企业用户从 2025 年 5 月 25 日起无法将新项目设为公开，但早期的免费用户没有创建私人项目的选项，需升级至付费计划。公司最终承认，API 中的权限设置问题导致聊天记录意外重新可见。

在对此漏洞的处理上，Lovable 指出 HackerOne 的合作伙伴认为查看公共项目聊天记录是预期行为，因此没有进一步升级处理。HackerOne 在初步调查后未对外作出回应。

Lovable 对发现该漏洞的研究人员表示感谢，并承诺今后会做得更好。

划重点：