Lovable存48天未修复API漏洞，可越权访问他人项目源代码与AI聊天记录

　　消息，4 月 21 日，据 动察 Beating 监测，安全研究员 @weezerOSINT 在 X 上披露，AI 应用构建平台 Lovable 存在对象级授权失效 漏洞，任何免费账号都能通过 API 调用越权读取他人项目的源代码、数据库凭据和 AI 对线 日通过 HackerOne 提交，至今 48 天仍未修复。 研究员演示时访问了丹麦非营利组织 Connected Women in AI 的项目，拿到其管理后台完整源代码，并读到开发者与 Lovable AI 讨论数据库表结构的对话，内容含 email、first_name、last_name 等字段。他对比测试发现：2026 年 4 月新建的项目返回 403 Forbidden，而同一开发者 10 天前仍在编辑的旧项目则返回 200 OK 并附完整源文件树，证明 Lovable 只为新项目修复了权限校验，未回补到存量项目。 Lovable 起初称此为「有意设计」且「文档表述不清」，后续声明承认失误，解释称 2026 年 2 月统一后端权限时意外重新开放了 public 项目的聊天访问，并将责任归咎于 HackerOne 分诊方，称对方认为「公开项目的聊天可被查看」属于预期行为，因此关闭了报告。Lovable 自称估值 66 亿美元，客户包括 Uber、Zendesk 和德国电信。