Lovable数据泄露风波：安全处理不当的时间线

AI编程平台Lovable深陷争议漩涡，此前安全研究人员发现了一个堪称开发者噩梦的严重漏洞——任何拥有免费账户的人都能访问他人的敏感信息。这一发现引发了关于科技公司对安全漏洞应承担责任的激烈讨论。

本不该存在的漏洞

研究人员发现Lovable系统缺乏基本的对象级权限验证(BOLA)后拉响警报。这一技术疏忽意味着用户可以：

• 查看私人聊天记录
• 访问专有源代码
• 获取数据库凭证

"这甚至算不上黑客行为，"一位不愿透露姓名的研究者解释道，"只需五个简单的API调用就能进入——就像走过一扇标着'私人'却未上锁的门。"

Lovable不断变化的解释

该平台的回应前后矛盾。最初的声明称这是"故意行为"，随后又改口归咎于"文档不完善"。在进一步追问下，他们承认对'公开'项目的定义不明确——对于一个处理敏感开发者数据的平台来说，这一承认令人震惊。

来自@weezerOSINT的社交媒体帖子显示，该漏洞在公开披露前48天就被报告过，却被以"重复提交"为由驳回。这一延误使得数据暴露问题持续存在，直到研究人员于3月3日将问题升级至HackerOne。

将责任推给HackerOne？

令人意外的是，Lovable最终将责任转嫁给HackerOne，声称其合作伙伴认为公开项目聊天记录的可见性是"预期行为"。安全专家对这一辩解表示怀疑，指出企业用户很快将完全失去公开项目选项——这表明公司知道这些设置存在问题。

"他们把安全性当作功能开关而非基本要求来对待，"网络安全分析师Mark Chen评论道，"当你的API意外让私密聊天再次可见时，那不是预期行为——那是失败。"

后果与修复措施

该公司已实施多项变更：

• 自2025年5月起限制新企业项目设为公开
• 在API中明确权限设置
• 承认沟通失误

然而对于早期免费用户来说，获得隐私保护的唯一途径仍是升级到付费计划——此举被一些人视为从自身安全疏漏中获利。

关键点：

• 🔓 严重的BOLA漏洞通过简单API调用暴露用户数据
• 🔄 Lovable的解释从'故意'到'文档差'再到指责HackerOne不断变化
• ⏳ 研究人员报告漏洞48天后才采取行动
• 💰 安全问题发生后免费用户必须付费才能获得隐私功能
• 🛠️ 虽已实施修复但信任重建可能需要更长时间