AI 编程平台 Lovable 否认数据外泄，并将责任指向 HackerOne

近日，AI 编程平台 Lovable 因安全漏洞备受关注。多位研究人员在社交媒体披露，只要在该平台注册一个免费账号，就可能看到他人的敏感信息，包括凭据、聊天记录和源代码。Lovable 最初回应称问题源于“人为行为”和“文档不够清晰”，但其说法多次变化。

据研究人员 @weezerOSINT 表示，他们在 48 天前就已上报该漏洞，但被 Lovable 标记为“重复提交”，未获处理。随后，他将报告提交至 HackerOne，页面显示的日期为 3 月 3 日。之后发布的帖子显示，该 AI 系统仍在持续暴露用户的私密和个人数据。

该漏洞属于“缺少对象级权限控制”（BOLA），使用户能够访问或更改其他用户的敏感信息。研究人员称，无需复杂攻击，只需五次 API 调用，就能拿到他人的个人资料、公开项目与源代码，并从中提取数据库凭据。

尽管 Lovable 未对《注册》的问询做出回应，但在社交媒体上，Lovable 最初表示注意到关于聊天内容与代码可见性的担忧，并强调“我们没有遭遇数据泄露”。随后，公司又将原因归结为文档表述不明确，承认“我们对‘公开’的定义不够到位，这是我们的问题”。

Lovable 解释称，自 2025 年 5 月 25 日起，企业用户不能再将新项目设为公开；早期免费用户则没有创建私有项目的选项，若需私有必须升级付费方案。公司最后承认，API 权限配置问题导致聊天记录被误重新开放可见。

在处理该漏洞过程中，Lovable 表示其在 HackerOne 的合作伙伴认为查看公开项目的聊天记录是预期行为，因此未继续升级处置。HackerOne 在初步调查后暂未对外回复。

Lovable 对发现问题的研究人员表示感谢，并承诺后续会在安全与沟通方面做得更好。

划重点：

📅 研究人员发现 Lovable 平台存在重大安全隐患，能轻易访问他人敏感信息。

🔧 Lovable 先称问题在于文档不清，后续口径变化，将责任进一步指向 HackerOne。

📉 Lovable 已修复问题，并表示将优化安全管理与用户沟通。