AI编程平台Lovable曝严重安全漏洞 否认泄露反甩锅HackerOne

2026年4月，AI编程平台Lovable被曝存在缺乏对象级权限验证（BOLA）漏洞，免费账户仅需5次API调用即可获取其他用户的凭据、聊天记录、源代码等敏感信息。白帽研究人员@weezerOSINT早在48天前就已提交漏洞报告，却被平台标记为重复提交未处理，后续上报至HackerOne后，Lovable反而否认数据泄露，将责任推给第三方平台。

4月中旬，白帽研究人员@weezerOSINT在社交平台放出的测试录屏引发AI开发者圈震动：他仅用一个刚注册的Lovable免费账号，经过5次简单的API调用，就完整导出了某付费用户存储在平台上的企业级项目源代码、数据库访问凭据，以及和团队成员的所有协作聊天记录，全程没有使用任何黑客攻击工具。

事实上，这一漏洞早在48天前就已被@weezerOSINT发现并提交给Lovable官方，但平台安全团队直接将其标记为“重复提交”，并未启动核实和修复流程。3月3日，研究人员将漏洞同步提交至白帽平台HackerOne，等待平台协调处理，但直到4月中旬，该漏洞仍然存在，普通用户可随意访问他人的隐私数据。

漏洞公开后，Lovable的回应反复引发更大争议：最初平台声称信息泄露源于“用户故意滥用”和“使用文档标注不清”，暗示用户不该把敏感信息存在平台上；后续又改口称不存在实际的数据泄露事件，责任完全在HackerOne的漏洞披露流程不符合规范。

本次曝出的漏洞属于典型的缺乏对象级权限验证（BOLA），是API类服务最高发的安全风险之一，核心问题是平台没有对用户的访问请求做身份校验，只要知道资源的调用地址，任何用户都可以随意访问、修改他人的数据。