Lovable发生数据泄露,但让人更无语的是他们一波三折的诡异回应。 事件始于社区开发者的实测曝光。有用户发现,Lovable平台上大量开发者的源代码、数据库凭证、敏感业务数据以及与AI的私密聊天记录正处于完全公开的状态。 任何人只需注册一个免费账户,发送5个常规API请求,就能随意拉取他人的完整项目数据。 爆料网友实测获取了丹麦一家非营利组织的后台源码,通过代码中明文写死的数据库凭证,甚至查到了包含参会人员真实姓名、所在公司及领英主页等核心隐私数据。 面对社区爆料,Lovable最初并不承认,说这个是自己的小巧思 早期Lovable的项目分为“公开”和“私有”,类似于GitHub。在平台底层的逻辑中,项目一旦公开,连带AI聊天记录也会一并公开。 这是预期设计,问题仅仅在于文档没有向用户解释清楚,导致用户误以为只有最终网页对外可见。 官方还特别强调,自2025年5月25日起,就已对企业客户禁用了新项目的公开可见性功能。 这不解释还好,一解释就被网友们喷了个狗血淋头。啥叫数据没泄露,只是和AI的对话本来就是公开的??? 更多人在评论区指出,其实这个漏洞早在2026年3月3日就已经通过HackerOne提交了,不过正因为审核方觉得“公开项目的聊天记录对外可见”是正常的逻辑设计,所以他们直接关闭了报告。 实际测试也表明,Lovable实际上只给新创建的项目添加了权限拦截(返回403错误),而大量仍在活跃迭代的老项目依然门户大开(返回200 OK,可随意下载)。 面对大家的吐槽,Lovable最终发布了第二份声明进行道歉:“我们很抱歉最初的声明没有妥善处理我们的错误。” 然后,他们终于承认了:虽然平台在2025年12月将所有项目默认设为了私有,但在次年2月进行后端权限统一时,发生了一次意外的权限回退,导致公开项目的聊天记录访问权被错误地重新开放。 也是让人淡淡无语了,大伙vibe coding的时候还是要注意数据安全呀。 #lovable #vibecoding #vibecoding大赏 #ai #AI编程 #数据泄露