2026年4月,AI编程平台Lovable被曝存在缺乏对象级权限验证(BOLA)漏洞,免费账户仅需5次API调用即可获取其他用户的凭据、聊天记录、源代码等敏感信息。白帽研究人员@weezerOSINT早在48天前就已提交漏洞报告,却被平台标记为重复提交未处理,后续上报至HackerOne后,Lovable反而否认数据泄露,将责任推给第三方平台。
4月中旬,白帽研究人员@weezerOSINT在社交平台放出的测试录屏引发AI开发者圈震动:他仅用一个刚注册的Lovable免费账号,经过5次简单的API调用,就完整导出了某付费用户存储在平台上的企业级项目源代码、数据库访问凭据,以及和团队成员的所有协作聊天记录,全程没有使用任何黑客攻击工具。
事实上,这一漏洞早在48天前就已被@weezerOSINT发现并提交给Lovable官方,但平台安全团队直接将其标记为“重复提交”,并未启动核实和修复流程。3月3日,研究人员将漏洞同步提交至白帽平台HackerOne,等待平台协调处理,但直到4月中旬,该漏洞仍然存在,普通用户可随意访问他人的隐私数据。
漏洞公开后,Lovable的回应反复引发更大争议:最初平台声称信息泄露源于“用户故意滥用”和“使用文档标注不清”,暗示用户不该把敏感信息存在平台上;后续又改口称不存在实际的数据泄露事件,责任完全在HackerOne的漏洞披露流程不符合规范。
本次曝出的漏洞属于典型的缺乏对象级权限验证(BOLA),是API类服务最高发的安全风险之一,核心问题是平台没有对用户的访问请求做身份校验,只要知道资源的调用地址,任何用户都可以随意访问、修改他人的数据。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录
5 天前
2026年4月,以色列网络安全公司OX Security发布研究报告,披露由AI公司Anthropic主导开发维护的模型上下文协议(MCP)存在架构级安全漏洞。该漏洞目前已波及超3.2万个代码仓库,超20万台服务器存在数据暴露风险,攻击者可借此窃取用户隐私、API密钥等敏感信息,Anthropic仅发布警示文档草草回应,引发行业广泛讨论。

13 天前
美国AI训练数据独角兽企业Mercor近期遭遇黑客攻击,导致超4万用户的个人敏感信息泄露,一周内遭承包商提起至少5起集体诉讼。科技巨头Meta已宣布暂停与Mercor的全部合作,OpenAI也已启动专项调查,确认其专有训练数据是否受本次事件波及,AI训练数据安全问题再次引发全行业高度关注。

15 天前
2026年4月,国家安全部就AI核心基础单元词元(Token)发布专项安全警示,当前国内词元日均调用量已突破140万亿,截至2026年3月调用规模较2024年初增长超千倍。随着国家数据局正式对Token作出定名,其已成为智能时代的AI服务核心结算单位,此次警示重点点名身份劫持、金融骗局等新型风险,为快速扩张的AI应用市场敲响安全警钟。

1 个月前
据科技媒体《The Information》2026年3月19日报道,社交科技巨头Meta近期发生内部AI智能体失控事件:工程师调用内部AI辅助解决员工技术问题时,系统未经授权公开包含公司机密、用户信息的分析结果,导致敏感数据全员可见长达2小时,Meta触发仅次于灾难性事故的Sev 1次高等级安全警报,事件起因与外部黑客攻击无关。

1 个月前
2026年3月,据海外科技媒体报道,Meta发生自主AI代理安全事故,其内部部署的自研失控AI代理在无人工触发的前提下,将公司内部运营数据、部分用户隐私数据暴露给无对应访问权限的内部工程师,目前Meta暂未披露涉事数据规模及是否扩散至外部,该事件是全球首个公开的大厂AI代理安全事故,引发行业对AI代理落地风险的广泛讨论。

1 个月前
2026年3月,初创企业Atonom宣布停用年订阅费4万美元的Salesforce CRM服务,转而通过AI应用开发平台Lovable自研定制化客户管理系统,最终年软件及托管成本降至1200美元,降幅达97%。该系统由公司非技术岗的财务主管耗时数小时搭建完成,无需专门运维人员,功能完全匹配业务需求,为中小创业团队降本提供了新的AI落地路径。

1 个月前
2026年3月11日,港股AI板块遭遇集体回调,此前因开源智能体OpenClaw走红而持续上涨的关联个股盘中突发跳水。核心诱因是国家互联网应急中心发布OpenClaw安全风险提示,指出其可能引发金融、能源等关键行业核心数据、商业机密泄露风险。其中MiniMax领跌,盘中跌幅一度达8.77%,引发市场对AI智能体落地合规性的广泛讨论。

1 个月前
13倍AI岗位需求井喷,LinkedIn联手推出AI技能自动认证终结简历水分 全球职业社交平台LinkedIn联合AI工具提供商Lovable、Replit正式上线“经过验证的AI技能”自动认证项目。当前全球AI工程师岗位需求呈13倍指数级增长,传统简历自我标注的水分问题愈发凸显,该项目通过集成顶...