Lovable 近日爆出資安事件,再度突顯 AI「vibe coding」工具越便利,安全風險就越高。資安研究者與外媒報導,這家瑞典 AI 程式開發新創系統曾出現安全漏洞,讓免費帳號可能存取其他人 2025 年 11 月前建立的專案,包括原始碼、AI 對話紀錄與客戶資料。
Lovable has a mass data breach affecting every project created before november 2025.
I made a lovable account today and was able to access another users source code, database credentials, AI chat histories, and customer data are all readable by any free account.
nvidia,… pic.twitter.com/QcVvz9cNZl
— impulsive (@weezerOSINT) April 20, 2026
此漏洞為少量 API 呼叫觸發,不需要高階駭客技巧。研究者稱曾能查看其他使用者的程式碼、聊天紀錄與客戶資料,顯示外洩風險並非僅限測試環境。研究者表示 48 天前已回報漏洞,但被標記為重複案件,未立即修補。
Lovable 起初否認資料外洩,並稱可查看公開專案是刻意設計,目的是方便使用者探索他人作品。不過外界質疑升高後,Lovable 說明之前確實允許第三方檢視「public」專案;也承認 2 月整合後終端權限時,不慎重新開啟公開專案聊天內容存取權,收到回報後立即恢復成私人。Lovable 表示 2025 年 12 月起,所有方案都預設關閉公開。
We’re sorry our initial statement didn’t properly address our mistake. Here’s what a public project on Lovable means, and how we got to where we are today:
In the early days, people didn’t know what Lovable was capable of. So we wanted to make it easy to explore what others were… https://t.co/8X2LMjETaS
— Lovable (@Lovable) April 20, 2026
資安專家認為,事件重點不只是語意爭議,而是產品缺乏安全設計。Hacker Minded 創辦人 Tom Van de Wiele 表示,讓使用者自己判斷哪些內容可公開哪些不是,最後通常都會出問題;ESET 全球資安顧問 Jake Moore 也指出,與其爭論這算不算傳統意義駭客行為,不如正視資料確實洩露的事實。Anthropic 與 Vercel 近期也接連出現資安事件,AI 開發工具安全風險再度成為焦點。
- Lovable’s Security Stumble Shows Risks of Using AI to Code
- Lovable.dev Fixed a Critical Bug for New Projects and Left Every Old One Exposed
- Lovable denies data leak, cites ‘intentional behavior’
- Lovable Left Thousands of Projects Exposed for 48 Days — And Still Hasn’t Fixed It
- Lovable denies mass data breach
- Critical BOLA Vulnerability Exposes Sensitive Data in Lovable AI App Builder Projects
(首圖來源:Lovable)
科技新報粉絲團
加入好友
訂閱免費電子報
