最近,AI 编程平台 Lovable 因安全漏洞引发争议。研究人员在社交媒体上透露,任何人在其服务上开设免费账户后,均可访问其他用户的敏感信息,包括凭据、聊天记录和源代码。Lovable 对此最初回应称,信息泄露源于 “故意行为” 和 “文档不清”,但其说法不断变化。
据研究人员 @weezerOSINT 透露,他们在 48 天前便报告了这一漏洞,但 Lovable 将其标记为 “重复提交”,并未进行处理。随后,该研究者将漏洞报告提交至 HackerOne,显示的提交日期为 3 月 3 日。后续的帖子则显示该 AI 系统持续泄露用户的秘密和个人数据。
此漏洞源于 “缺乏对象级权限验证”(BOLA),允许用户访问或修改其他用户的敏感数据。研究人员表示,无需进行恶意黑客攻击,只需五次 API 调用便能获得他人的个人资料、公开项目及源代码,并从中提取数据库凭据。
尽管 Lovable 未回应《注册》的询问,但在社交媒体上,Lovable 首次表示已注意到有关聊天消息和代码可见性的担忧,并声明 “我们并未遭遇数据泄露”。随后,该公司又将责任归咎于文档不清,承认 “我们对‘公共’的定义不够明确,这是我们的失误”。
Lovable 解释,企业用户从 2025 年 5 月 25 日起无法将新项目设为公开,但早期的免费用户没有创建私人项目的选项,需升级至付费计划。公司最终承认,API 中的权限设置问题导致聊天记录意外重新可见。
在对此漏洞的处理上,Lovable 指出 HackerOne 的合作伙伴认为查看公共项目聊天记录是预期行为,因此没有进一步升级处理。HackerOne 在初步调查后未对外作出回应。
Lovable 对发现该漏洞的研究人员表示感谢,并承诺今后会做得更好。
📅 研究人员发现 Lovable 平台存在严重安全漏洞,能轻易访问他人敏感信息。
🔧 Lovable 最初将问题归咎于文档不清,但其说法不断变化,责任最终转向 HackerOne。
📉 Lovable 已修复漏洞,并表示会改进其安全管理和用户沟通。
安全公司Noma披露Grafana的AI助手存在“GrafanaGhost”漏洞,黑客可通过“间接提示注入”诱导AI助手将企业敏感数据泄露至外部服务器。该漏洞利用自然语言查询功能,在用户不知情的情况下窃取数据,构成严重安全威胁。
Anthropic发布的Claude Mythos Preview被指宣传夸大,其宣称的“核武级”破坏力在实测中大幅缩水。核心争议在于漏洞发现能力的“数学游戏”被曝光,实际效果远不及宣传。
360漏洞挖掘智能体成功发现并上报了OpenClaw的3项安全漏洞,包括1个高危和2个中危漏洞,均已获修复。这标志着AI安全审计从规则驱动迈向智能思维驱动,为AI应用安全治理提供关键支撑。高危漏洞涉及本地脚本审批与执行机制,存在被攻击者利用的风险。
安全研究机构发现Claude Code存在高危漏洞,当处理超过50条子命令的复合命令时,会绕过所有安全过滤规则,导致第51条恶意代码可隐身执行。
以色列安全公司披露Anthropic旗下AI工具Claude Code存在严重漏洞,其内置安全拦截规则在一次性接收过多子命令时会失效。原因是代码中硬编码了“最大安全检查子命令数”变量,上限固定为50个,简单的溢出攻击即可绕过防御。
关注 “悠AI” 更多干货技巧行业动态
相关文章
