AI编程平台Lovable数据安全争议:无泄露声明与HackerOne责任归属
近期,知名AI编程平台Lovable因一项安全漏洞陷入舆论风波。安全研究人员公开披露,该平台存在严重的权限验证缺陷,允许任何免费注册用户未经授权访问其他用户的敏感数据,包括API凭证、私密聊天记录及项目源代码等核心信息。
该漏洞最初由安全专家在社交媒体平台曝光。技术分析指出,问题的核心在于“对象级权限验证缺失”——这一设计缺陷导致用户可跨账户越权获取数据。演示过程显示,攻击者无需复杂技术手段,仅通过五次简单的API调用,即可成功提取他人个人资料、公开项目详情乃至数据库访问密钥。
平台方的应对过程引发广泛讨论。Lovable初期回应态度反复,先是否认发生“数据泄露事件”,随后将问题归因于“文档表述不清晰”,承认平台对“公开项目”的权限定义存在模糊地带。官方解释称,早期免费用户确实无法创建私有项目,而企业版用户自今年5月25日起才被禁止新建公开项目。
然而,根据漏洞报告时间线,研究人员早在48天前就已向平台提交该问题,却被标记为“重复报告”而未获处理。直至该漏洞被提交至国际知名安全众测平台HackerOne,事件才获得实质性关注。后续追踪显示,在此期间系统持续存在用户隐私数据暴露风险。
关于漏洞处理流程也存在争议。Lovable方面透露,HackerOne合作方曾认为“查看公开项目的聊天记录属于预期行为”,因此未将报告升级处理。目前HackerOne官方尚未对此事发表正式声明。
事件最终以Lovable修复API权限漏洞告一段落。平台对漏洞发现者致谢,并承诺将全面加强安全体系建设与危机响应机制。这起安全事件折射出AI服务平台在高速发展过程中,如何平衡功能迭代与数据安全防护,以及建立透明沟通渠道的重要性。
事件核心要点:
• 安全研究人员披露Lovable平台存在高危越权漏洞,可导致用户敏感信息大规模暴露。
• 平台回应经历阶段性变化,从初始否认到归因文档定义,并提及第三方漏洞平台的评估差异。
• 漏洞目前已完成技术修复,平台承诺优化安全防护体系与应急沟通流程。
热门专题
热门推荐
在《零号任务》的精彩冒险中,清晰掌握个人资产状况是提升游戏水平、优化决策效率的核心基础。无论是筹备大型采购,还是制定下一步的战术策略,对自己的游戏财富了如指掌都至关重要。本文将为您详细解析如何在游戏中快速查看并有效管理您的全部资产。 查看资产的操作流程非常简便。首先,您需要正常登录并进入游戏主界面。
在《和平精英》演唱会模式中,荧光棒具备攻击与救援双重功能。攻击可干扰对手视觉与状态,但不会造成实质伤害;救援则可敲击解除被冰封队友的冻结状态,帮助其恢复行动。这一道具是影响团队胜负的重要协作工具。
苏莱曼从DeepMind联合创始人到加入微软后,其负责的AI项目进展缓慢,未能兑现AI快速取代专业工作的预言,导致业界评价走低。其技术能力与管理风格均受质疑,从早期共创辉煌到如今因项目迟滞沦为笑谈,其经历凸显了在激烈竞争中持续交付成果的重要性。
《灵域修仙之神王传说》构建了一个灵气充盈的仙侠世界,玩家作为修行者需通过探索、修炼掌握天地法则。游戏包含丰富的门派选择、技能体系与炼丹制器等深度玩法,并融入神兽、社交及奇遇系统,结合精美画面与战斗体验,提供高自由度的沉浸式修仙之旅。
ASML首席执行官警告,欧洲人工智能法案需改革或废除,避免“简单化”规则限制技术供应链。该法案严格监管,但可能因理想化规则抬高成本、拖累创新,威胁全球半导体供应链稳定。产业界呼吁政策需平衡安全与开放、监管与创新,避免过度规制束缚欧洲科技竞争力。法案走向将影响全球科技格局。