网易首页 > 网易号 > 正文 申请入驻

Lovable平台否认数据泄露,却将责任推给HackerOne

0
分享至


氛围编程平台Lovable正在极力淡化一位研究人员的发现——任何人只需注册一个免费账户,便可读取其他用户的敏感信息,包括凭证、聊天记录和源代码。然而,该公司的说辞却一变再变:起初将公开暴露的信息归因于"有意为之的功能设计"和"文档说明不清晰",随后又将责任甩锅给漏洞奖励服务商HackerOne。

此次风波似乎是又一起AI公司回避安全漏洞责任的典型案例。这家声称估值高达66亿美元的初创公司,据其最新一轮融资公告显示,Uber、Zendesk和德国电信等知名企业均在使用其AI氛围编程工具。

网络安全研究人员@weezerOSINT于本周一在X平台发文称:"Lovable存在大规模数据泄露问题,影响2025年11月之前创建的所有项目。我今天注册了一个Lovable账户,就能访问其他用户的源代码,数据库凭证、AI聊天记录和客户数据对任何免费账户均可读取。"

该研究人员表示,他们在48天前就已上报该漏洞,但Lovable将其标记为"重复提交"并搁置不理。随后,他们通过HackerOne提交了漏洞报告,截图显示提交日期为3月3日。后续帖子更显示该AI系统在对话中泄露了密钥和个人数据。

BOLA漏洞

此次泄露源于一个"对象级别授权破坏(BOLA)"漏洞。该漏洞发生于API在缺乏所有权验证的情况下暴露端点,导致用户可以访问或修改属于其他用户的敏感数据。

据这位漏洞发现者表示,触发该漏洞无需任何攻击性操作。他们仅通过免费账户发起5次API调用,便成功访问了另一用户的个人资料、公开项目和源代码,并从源代码中提取出了数据库凭证。

Lovable未回应《The Register》的采访请求。但在周一晚些时候,该公司在X平台上先发布声明称,"获悉外界对Lovable公开项目中聊天记录和代码可见性的担忧",并补充道:"需要明确的是:我们并未遭遇数据泄露。"

随后,该公司将矛头指向自身文档问题,称"我们对'公开'含义的文档说明不够清晰,这是我们的失误"。该公司还表示,公开项目的聊天记录"过去是可见的",但现在已不再如此。

紧接着,该公司发出了一段令人费解的声明,称将提示词和源代码设为可见属于有意为之:

关于公开项目的代码:这是经过设计的有意行为。我们曾就公开项目的构建历史呈现方式尝试过不同的用户体验,但核心行为一直如此,且出于设计考量。

然而,这一所谓的"有意设计"并不适用于企业级客户。针对这一群体,"将新项目可见性设为公开的功能已于2025年5月25日停用"。

Lovable的失误

周一晚间,Lovable在X平台发布了一份新声明,为其早前的回应"未能恰当承认我们的失误"表示道歉,解释了公开与私有项目权限混乱的来龙去脉,并将未能及时修复漏洞的责任归咎于其漏洞奖励合作伙伴HackerOne。

该初创公司表示,用户在创建项目时可以选择"公开"或"私有"选项。

"公开项目意味着整个项目是公开的,包括聊天记录和代码,"Lovable解释道,"随着时间推移,我们意识到这造成了困惑。许多用户以为'公开'只是意味着他人可以看到他们已发布的应用,而非未发布项目的聊天记录,这种理解是合理的。"

早期免费用户没有创建私有项目的选项,必须升级到付费方案才能使用这一功能——直到2025年5月,Lovable才开始允许免费用户创建私有项目,并对企业客户完全禁用了公开设置。

2025年12月,该公司将所有层级的默认设置切换为"私有"。

"我们还对API进行了追溯性修补,确保无论如何都无法访问公开项目的聊天记录,"该公司在致歉声明中写道,"不幸的是,2月份在统一后端权限时,我们不慎重新开放了公开项目聊天记录的访问权限。"

正是这一安全问题被WeezerOSINT通过HackerOne向Lovable举报。此后,事态陷入混乱。

"不幸的是,相关报告在未经升级处理的情况下被关闭,因为我们的HackerOne合作伙伴认为查看公开项目聊天记录属于预期行为,"Lovable写道,"得知此事后,我们立即回滚了相关更改,将所有公开项目的聊天记录再次设为私有。"

HackerOne起初以需要进一步审查为由拒绝置评。"鉴于客户项目的特殊性质以及仔细审核细节的必要性,我们目前无法进一步置评,"该公司向《The Register》表示,"我们希望确保所分享的任何信息都准确且负责任,完成审查后我们将跟进反馈。"

Lovable表示,对揭露这一问题的研究人员表示感谢。"我们理解,仅仅指出文档问题在这里是不够的,"该公司表示,"我们会做得更好。"

Q&A

Q1:Lovable的BOLA漏洞具体是什么,会造成哪些危害?

A:BOLA(对象级别授权破坏)漏洞是指API在缺乏所有权验证的情况下暴露端点,导致用户可以访问或修改属于他人的敏感数据。在Lovable的案例中,研究人员仅凭免费账户发起5次API调用,便能读取其他用户的个人资料、公开项目源代码,并从中提取数据库凭证,整个过程无需任何攻击性操作,危害范围涵盖2025年11月之前创建的所有项目。

Q2:Lovable最初为何否认数据泄露,后来又为何改变说法?

A:Lovable起初将问题归因于"有意为之的功能设计"和"文档说明不清晰",否认发生数据泄露。后来发布的新声明则承认,公司在2月份统一后端权限时,不慎重新开放了原本已修补的公开项目聊天记录访问权限,并将未及时修复该漏洞的责任部分归咎于合作伙伴HackerOne——后者误以为相关行为属于预期功能,因此关闭了漏洞报告,未进行升级处理。

Q3:Lovable目前采取了哪些措施来修复安全问题?

A:Lovable已对API进行追溯性修补,确保公开项目的聊天记录无法被外部访问;2025年5月起允许免费用户创建私有项目,并对企业客户禁用了公开设置;2025年12月将所有层级的默认设置切换为"私有"。发现漏洞被重新引入后,公司也立即回滚了相关更改,并向研究人员公开致歉。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
注意!广州局地有龙卷风险

注意!广州局地有龙卷风险

新快报新闻
2026-07-04 13:44:21
英格兰墨西哥对更改开球时间不满,国际足联将维持原定时间

英格兰墨西哥对更改开球时间不满,国际足联将维持原定时间

舟望停云
2026-07-04 10:57:24
韩红要崩溃了!央视重温播放《天路》,是原唱巴桑版本,评论炸锅

韩红要崩溃了!央视重温播放《天路》,是原唱巴桑版本,评论炸锅

曹莽看世界
2026-07-04 10:05:14
钱再多有什么用?64岁郎平如今的现状,给所有运动员们敲响了警钟

钱再多有什么用?64岁郎平如今的现状,给所有运动员们敲响了警钟

墨印斋
2026-07-04 10:34:58
触目惊心!浦东5小区房价腰斩,临港、源深成重灾区

触目惊心!浦东5小区房价腰斩,临港、源深成重灾区

阿离家居
2026-07-04 11:15:22
出大事了!美国飞行员在亚洲被枪杀,英法德俄沉默,特朗普或出兵

出大事了!美国飞行员在亚洲被枪杀,英法德俄沉默,特朗普或出兵

介知
2026-07-04 09:06:41
官方报价40元配件被收150元?格力售后:师傅看错单,已退费并停单培训

官方报价40元配件被收150元?格力售后:师傅看错单,已退费并停单培训

上游新闻
2026-07-03 12:34:32
比经济拮据更沉重的是中国60后开始退场后,正在逼近那些隐性压力

比经济拮据更沉重的是中国60后开始退场后,正在逼近那些隐性压力

王二哥老搞笑
2026-07-01 06:20:07
干了八年的电工,完全想不通,风扇输入功率22W,而输出功率却是4.4W,啥情况?

干了八年的电工,完全想不通,风扇输入功率22W,而输出功率却是4.4W,啥情况?

新浪财经
2026-07-01 12:38:36
把阿根廷逼进加时赛,佛得角队站着出局

把阿根廷逼进加时赛,佛得角队站着出局

新京报
2026-07-04 09:50:22
差距明显 特斯拉保值率断层第一 国产电车集体掉队

差距明显 特斯拉保值率断层第一 国产电车集体掉队

快科技
2026-07-04 14:04:19
内存末日,无人幸免

内存末日,无人幸免

硅基研究室
2026-07-02 14:47:46
特殊岛:希望加入中国大陆或与台湾省合并,但绝不会承诺日本!

特殊岛:希望加入中国大陆或与台湾省合并,但绝不会承诺日本!

星星会坠落
2026-06-23 02:56:13
九寨沟一男子被挤落入钙化池,游客质疑无护栏,景区回应:踩踏也会对钙化池造成破坏,将反馈安装护栏的建议

九寨沟一男子被挤落入钙化池,游客质疑无护栏,景区回应:踩踏也会对钙化池造成破坏,将反馈安装护栏的建议

大象新闻
2026-07-03 13:54:03
TA:墨英之战提前六小时的计划告吹,比赛按原时间进行

TA:墨英之战提前六小时的计划告吹,比赛按原时间进行

懂球帝
2026-07-04 13:11:06
人伦大乱,正在悄悄毁掉无数中国家庭!看似平常,实则家道衰落

人伦大乱,正在悄悄毁掉无数中国家庭!看似平常,实则家道衰落

阿凯销售场
2026-06-30 00:30:29
一个出货信号很明显了……

一个出货信号很明显了……

郭小凡财经
2026-07-04 11:13:20
林志颖捂了12年的kimi,首次公开正面照,网友:这脸,判若俩人……

林志颖捂了12年的kimi,首次公开正面照,网友:这脸,判若俩人……

可读
2026-06-25 23:21:52
钱学森教授唯一的孙子钱磊:2009年30岁少校,2017年38岁上校

钱学森教授唯一的孙子钱磊:2009年30岁少校,2017年38岁上校

史之铭
2026-06-20 02:12:13
中国走则万物落!面对印尼的镍矿收割,中企用21天拆除生产线回国

中国走则万物落!面对印尼的镍矿收割,中企用21天拆除生产线回国

老谢谈史
2026-07-04 12:49:39
2026-07-04 14:44:49
至顶科技 incentive-icons
至顶科技
科技产业媒体与 AI 产业服务机构
19861文章数 49713关注度
往期回顾 全部

科技要闻

韬定律论文V2版,充工程细节和实测数据

头条要闻

美大使装无辜:好失望 你们在中国肯定不自由

头条要闻

美大使装无辜:好失望 你们在中国肯定不自由

体育要闻

揭法国锋线最大优势 有人比姆巴佩还快?

娱乐要闻

最富女歌手霉霉完婚 在纽约设宴庆贺

财经要闻

韩国股市杠杆失控:450亿美元资金狂飙

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

房产
时尚
本地
亲子
艺术

房产要闻

总裁空缺17个月、现金缺口超1000亿:金融局“局外人”入局万科

剪刀手失宠后,夏日出片有了新姿势

本地新闻

国内足球之旅?这座小城给你高分答案

亲子要闻

告别焦虑,科学守护孩子脊柱健康

艺术要闻

16位当代画家,23幅风景与人物作品

无障碍浏览 进入关怀版