【安全圈】Lovable 安全失誤暴露 AI 編程工具的隱患

關鍵詞

數據泄露

近日，瑞典 AI 編程初創公司 Lovable 因一起數據安全事件再次引發行業關注。一位 X 平臺用戶（用戶名 "Impulsive"）周一指出，該公司存在大規模數據泄露問題，影響范圍涵蓋 "2025 年 11 月之前創建的所有項目 "。該用戶聲稱，通過其免費賬戶能夠訪問另一位用戶的代碼、AI 聊天記錄以及客戶數據。

更令人擔憂的是，英偉達、微軟、優步和 Spotify 等知名企業的員工賬號也被波及。據稱，這一漏洞早在 48 天前便被報告，但 Lovable 將其標記為重復問題并保持開放狀態。

對此，Lovable 回應稱，查看公共項目的代碼是其設計初衷，并非數據泄露。然而，在公眾對其信息透明度的強烈質疑下，該公司隨后發布第二份聲明承認了安全錯誤。聲明中提到，"2 月份在統一后端權限時，我們意外重新啟用了對公共項目聊天的訪問權限。" 發現問題后，Lovable 立即撤銷了更改，并感謝研究人員的反饋。

盡管部分用戶認可 Lovable 的透明態度，但也有批評聲音認為其最初的回應類似 " 精神操控 "。安全專家湯姆 · 范 · 德 · 維爾指出，此次事件反映了 " 缺乏安全默認設置以及未能為自動化和 AI 時代進行威脅建模 " 的問題。他強調，依賴用戶理解公開與私密內容的區別 " 最終總是會失敗 "。

ESET 全球網絡安全顧問杰克 · 摩爾則認為，關于是否構成傳統意義上的數據泄露的爭論可能忽略了更大的風險。" 本質上更像是一種設計缺陷，因為數據被暴露而不是被黑客攻擊。" 他還補充道，" 當一家公司爭論語義而非影響時，通常意味著從第一天起就沒有將安全性納入其中。"

氛圍編程的風險權衡

專業開發者普遍對過度依賴 AI 持謹慎態度，尤其是在 " 氛圍編程 " 領域。這種模式被認為會產生混亂且未經測試的代碼，同時還帶來信息安全問題，包括敏感公司數據的意外暴露。

范 · 德 · 維爾表示，構建這些工具的公司在追求易用性與確保安全性之間往往面臨兩難選擇。然而，這并不能成為弱保護的借口。" 公司既想降低新用戶的使用門檻，又需防止數據被抓取，這對某些用戶而言確實存在實際后果。"

摩爾進一步警告稱，如果用戶未能完全理解哪些內容會被暴露，氛圍編程工具可能會加劇這些風險。" 不良默認設置正在加速，用戶需要明確意識到這一點，并制定故障保險和備份措施。"

接連不斷的安全失誤

Lovable 的事件并非孤例。過去幾周內，另外兩家 AI 公司也相繼曝出重大數據安全問題。三月下旬，Anthropic 意外泄露了一個包含近 2,000 個文件和 50 萬行代碼的存檔；本周早些時候，網站托管平臺 Vercel 也披露了一起未經授權訪問內部系統的事件。

Vercel 透露，該事件源于第三方工具 Context.ai 的泄露，攻擊者借此接管了一名員工的 Google Workspace 賬戶，從而獲得對部分 Vercel 環境的訪問權限。目前，Vercel 已聘請事件響應專家協助調查，并通知了執法部門。

在二月份的一期播客中，Andreessen Horowitz 普通合伙人 Anish Acharya 曾提醒企業不要在每個業務環節都使用 AI 輔助編碼，因為這樣做的風險可能得不償失。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！