Lovable AI平台数据安全争议：HackerOne责任归属深度解析

AI编程平台Lovable近期曝出一项高危安全漏洞，引发业界广泛关注。安全研究人员证实，攻击者仅需注册免费账户，即可通过简单操作越权访问其他用户的敏感数据，包括API凭证、项目聊天记录及核心源代码。

该漏洞由安全团队在社交媒体率先披露。技术报告指出，其根本原因在于平台“缺乏对象级权限验证”。这一设计缺陷导致严重的横向越权访问：用户A能够直接调用接口，获取用户B的私有信息。研究演示显示，攻击者无需复杂渗透技术，仅通过五次API调用即可批量提取他人个人资料、公开项目数据乃至数据库访问密钥。

平台方的危机应对过程颇具争议。Lovable在初期回应中否认发生“数据泄露”，随后将问题归因于“产品文档表述不清”，承认其对“公开项目”的权限定义存在模糊地带。官方解释称，早期免费版本确实未提供私有项目创建功能，而企业用户自今年5月25日起才被禁止新建公开项目。

然而，时间线显示该漏洞在48天前已通过合规渠道提交，却被Lovable标记为“重复报告”而未跟进处理。直至报告被提交至HackerOne漏洞赏金平台，事件才进入快速响应通道。后续监测表明，在此期间系统持续暴露用户机密信息。

漏洞处理流程亦存在信息冲突。Lovable声称HackerOne合作方曾判定“查看公开项目聊天记录属于预期行为”，因此未将报告升级处理。目前HackerOne尚未对此说法发表官方评论。

事件最终以Lovable完成API权限漏洞修复告一段落。平台对漏洞发现者致谢，并承诺将全面强化安全审计与应急沟通机制。此次事件暴露出AI开发平台在高速迭代过程中，权限管理体系与安全响应流程存在的系统性风险。

事件要点回顾：

• 安全研究人员证实Lovable平台存在API越权漏洞，可导致敏感数据大规模暴露。

• 平台回应从初始否认逐步转向归因文档缺陷，并提及第三方评估存在分歧。

• 漏洞现已完成修复，平台承诺升级安全管控与漏洞响应体系。