研究人员发现Lovable平台上一款AI构建的应用程序存在基本漏洞，导致1.8万名用户数据暴露。该安全问题已被披露，凸显了AI开发应用中潜在的安全风险。

研究人員稱Lovable平台應用存在基礎漏洞，致1.8萬用戶數據洩露

核心內容：

• 平台責任爭議：AI應用開發平台Lovable被指其託管應用存在多個安全漏洞，導致18,697名用戶數據洩露。研究人員Taimur Khan發現涉事應用存在16個漏洞（其中6個為高危漏洞），但平台方稱用戶需自行處理發布前的安全警告。

• 漏洞詳情：

  • 問題根源在於平台使用Supabase後端服務時，未強制啟用行級安全（RLS）和基於角色的訪問控制（RBAC），導致AI生成的代碼存在邏輯缺陷。
  • 典型錯誤包括身份驗證功能反向實現：本應阻止非管理員訪問的邏輯錯誤地攔截了所有登錄用戶，而未認證用戶反而能訪問敏感數據。
  • 洩露數據包含14,928個獨立郵箱，涉及4,538名學生、10,505名企業用戶及870名完整個人信息（PII）暴露的用戶，部分來自美國加州大學伯克利分校等教育機構。

• 潛在危害：未授權攻擊者可查看所有用戶記錄、批量發送郵件、刪除賬戶、篡改考試成績，甚至獲取機構管理員郵箱。

• 平台回應：

  • Lovable表示已聯繫涉事應用開發者，並強調發布前提供免費安全掃描（但需用戶自願修復問題）。
  • 對於研究人員最初提交的工單被關閉，平台CISO解釋稱2月26日晚收到完整報告後「數分鐘內」採取了行動。

背景延伸：

• 該事件再次引發對「氛圍編程」（vibe coding，2025年柯林斯年度詞彙）的質疑。這類AI輔助開發工具雖降低技術門檻，但Veracode研究顯示45%的AI生成代碼存在安全缺陷。
• 研究人員呼籲平台方對展示的應用承擔更多安全責任，尤其當應用托管在自身基礎設施且獲得平台推廣時。

（注：原文中大量網站導航、重複標籤及不相關鏈接等內容已刪減，保留核心事件敘述與關鍵技術細節。）

这篇评论围绕"vibe-coding"（AI辅助编程）的安全隐患展开讨论，主要观点如下：

1. 用户面临的安全风险（评论1/5/7）

• 用户无法辨别应用是否由AI生成，失去了传统开发的安全预期 "The hardest part...you don't necessarily know if an app is vibe-coded" "18,000 users absorbed the downside of a risk they didn't know"

2. 开发者安全实践的不足（评论2/3）

• AI生成代码可能包含类似人为错误但缺乏测试 "Actually sounds like a typical mistake a human developer would make" "I can't tell yet if this is better than what I did before or just theater"

3. 非开发者用户的安全盲区（评论4/6）

• 低代码平台用户缺乏安全意识，产品存在同质化和废弃风险 "Their core users wouldn't understand a security flow if it flashed red" "democratized shipping without democratizing the accountability"

4. 行业现状的隐喻（评论6）

• 用迪士尼《幻想曲》中"魔法师学徒"比喻当前失控的软件开发态势

（注：所有评论均无评分数据，无法评估认可度）