据The Register在当地时间20日报道,估值66亿美元的“氛围编程”平台Lovable因安全漏洞问题引发争议。研究人员称,该平台存在对象级授权缺陷(BOLA),免费账号即可访问其他用户的项目源代码、数据库凭证以及AI聊天记录等敏感信息。
一名在X(原Twitter)平台使用@weezerOSINT账号的研究人员表示,他在创建免费账号后,仅通过5次API调用,就能访问其他用户资料、公开项目及其源代码,并可进一步从源代码中提取数据库凭证。根据其说法,相关API在未校验数据归属的情况下,向非授权用户暴露了他人数据。
该研究人员还称,自己在48天前已向Lovable报告这一问题,但平台以“重复提交”为由将其处理,此后未再推进。随后,他又向漏洞赏金平台HackerOne提交了相关报告。
The Register称,Lovable对此事的说法曾多次变化。公司最初表示“没有发生数据泄露”,并称公开项目聊天记录可被访问是“有意的设计”;随后又改口称,相关文档表述不够清晰。此后,Lovable进一步表示,HackerOne认为公开项目聊天记录可被查看属于预期行为,因此未将该报告升级处理。
报道称,这也意味着,HackerOne并未将该问题认定为安全事件,也未要求Lovable开发团队紧急修复。
此后,Lovable在官方声明中解释称,公司已于2025年12月将所有层级的默认设置切换为私密,但在2026年2月进行后端权限整合过程中出现失误,导致公开项目聊天记录的访问权限被重新开启。
Lovable还表示,HackerOne合作方将查看公开项目聊天记录认定为预期行为,因此未作升级处理便予以结案。公司在发现问题后,已回滚相关变更,并将所有公开项目聊天记录重新设为私密。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr