AI编程平台Lovable数据安全争议：无泄露声明与HackerOne责任归属

近期，知名AI编程平台Lovable因一项安全漏洞陷入舆论风波。安全研究人员公开披露，该平台存在严重的权限验证缺陷，允许任何免费注册用户未经授权访问其他用户的敏感数据，包括API凭证、私密聊天记录及项目源代码等核心信息。

该漏洞最初由安全专家在社交媒体平台曝光。技术分析指出，问题的核心在于“对象级权限验证缺失”——这一设计缺陷导致用户可跨账户越权获取数据。演示过程显示，攻击者无需复杂技术手段，仅通过五次简单的API调用，即可成功提取他人个人资料、公开项目详情乃至数据库访问密钥。

平台方的应对过程引发广泛讨论。Lovable初期回应态度反复，先是否认发生“数据泄露事件”，随后将问题归因于“文档表述不清晰”，承认平台对“公开项目”的权限定义存在模糊地带。官方解释称，早期免费用户确实无法创建私有项目，而企业版用户自今年5月25日起才被禁止新建公开项目。

然而，根据漏洞报告时间线，研究人员早在48天前就已向平台提交该问题，却被标记为“重复报告”而未获处理。直至该漏洞被提交至国际知名安全众测平台HackerOne，事件才获得实质性关注。后续追踪显示，在此期间系统持续存在用户隐私数据暴露风险。

关于漏洞处理流程也存在争议。Lovable方面透露，HackerOne合作方曾认为“查看公开项目的聊天记录属于预期行为”，因此未将报告升级处理。目前HackerOne官方尚未对此事发表正式声明。

事件最终以Lovable修复API权限漏洞告一段落。平台对漏洞发现者致谢，并承诺将全面加强安全体系建设与危机响应机制。这起安全事件折射出AI服务平台在高速发展过程中，如何平衡功能迭代与数据安全防护，以及建立透明沟通渠道的重要性。

事件核心要点：

• 安全研究人员披露Lovable平台存在高危越权漏洞，可导致用户敏感信息大规模暴露。

• 平台回应经历阶段性变化，从初始否认到归因文档定义，并提及第三方漏洞平台的评估差异。

• 漏洞目前已完成技术修复，平台承诺优化安全防护体系与应急沟通流程。