登录体验完整功能(收藏、点赞、评论等) — 已累计有 12593 人加入

AI编程平台Lovable曝严重安全漏洞 否认泄露反甩锅HackerOne

详情页推荐

2026年4月,AI编程平台Lovable被曝存在缺乏对象级权限验证(BOLA)漏洞,免费账户仅需5次API调用即可获取其他用户的凭据、聊天记录、源代码等敏感信息。白帽研究人员@weezerOSINT早在48天前就已提交漏洞报告,却被平台标记为重复提交未处理,后续上报至HackerOne后,Lovable反而否认数据泄露,将责任推给第三方平台。

4月中旬,白帽研究人员@weezerOSINT在社交平台放出的测试录屏引发AI开发者圈震动:他仅用一个刚注册的Lovable免费账号,经过5次简单的API调用,就完整导出了某付费用户存储在平台上的企业级项目源代码、数据库访问凭据,以及和团队成员的所有协作聊天记录,全程没有使用任何黑客攻击工具。

事实上,这一漏洞早在48天前就已被@weezerOSINT发现并提交给Lovable官方,但平台安全团队直接将其标记为“重复提交”,并未启动核实和修复流程。3月3日,研究人员将漏洞同步提交至白帽平台HackerOne,等待平台协调处理,但直到4月中旬,该漏洞仍然存在,普通用户可随意访问他人的隐私数据。

免责声明:本网站AI资讯内容仅供学习参考,不构成任何建议,不对信息准确性与完整性负责。