ME News 消息,4 月 21 日(UTC+8),據動察 Beating 監測,安全研究員 @weezerOSINT 在 X 上披露,AI 應用構建平台 Lovable 存在物件級授權失效(BOLA)漏洞,任何免費帳號均可透過 API 調用越權讀取他人專案的原始碼、資料庫憑證和 AI 對話歷史。該漏洞已於 2026 年 3 月 3 日透過 HackerOne 提交(報告編號 #3583821),至今 48 天仍未修復。研究員在演示時存取了丹麥非營利組織 Connected Women in AI 的專案,取得其管理後台完整原始碼,並讀到開發者與 Lovable AI 討論資料庫表結構的對話,內容包含 email、first_name、last_name 等欄位。他對比測試發現:2026 年 4 月新建的專案返回 403 Forbidden,而同一開發者 10 天前仍在編輯的舊專案則返回 200 OK 並附完整原始檔樹,證明 Lovable 僅為新專案修復了權限校驗,未回補至存量專案。Lovable 最初稱此為「有意設計」且「文件表述不清」,後續聲明承認錯誤,解釋稱 2026 年 2 月統一後端權限時意外重新開放了 public 專案的聊天存取,並將責任歸咎於 HackerOne 分診方,稱對方認為「公開專案的聊天可被查看」屬於預期行為,因此關閉了報告。Lovable 自稱估值 66 億美元,客戶包括 Uber、Zendesk 和德國電信。(來源:BlockBeats)
可愛的 API 漏洞允許未經授權存取原始碼和 AI 聊天記錄
KuCoinFlash分享
精華摘要
MetaEra 的漏洞新聞報告揭示,AI 與加密貨幣新聞平台 Lovable 存在 BOLA 漏洞,允許免費用戶存取原始碼、資料庫憑證和聊天記錄。該問題於 2026 年 3 月 3 日透過 HackerOne 報告,並長達 48 天未修補。一名研究人員展示了對丹麥非營利組織 Connected Women in AI 專案的存取權限,暴露了完整的原始碼與敏感資料。Lovable 最初將此報告視為預期設計,後承認錯誤,並將責任歸咎於 HackerOne 的分類團隊。
來源:顯示原文
免責聲明:本頁面資訊可能來自第三方,不一定反映KuCoin的觀點或意見。本內容僅供一般參考之用,不構成任何形式的陳述或保證,也不應被解釋為財務或投資建議。 KuCoin 對任何錯誤或遺漏,或因使用該資訊而導致的任何結果不承擔任何責任。
虛擬資產投資可能存在風險。請您根據自身的財務狀況仔細評估產品的風險以及您的風險承受能力。如需了解更多信息,請參閱我們的使用條款和風險披露 。