2026-04-23 04:58:12 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 瑞典AI编程公司Lovable因后端权限配置错误导致用户项目数据意外暴露，涉及代码、AI聊天记录及客户数据，知名企业员工账号受影响。安全专家指出这反映AI工具普遍存在的设计缺陷与安全默认设置不足问题，建议企业谨慎使用AI编程工具并加强数据暴露风险意识。近期Anthropic、Vercel等AI公司也接连出现数据安全事件。 综合评分： 72 文章分类： 数据泄露,应用安全,云安全,安全建设,解决方案

cover_image

【安全圈】Lovable 安全失误暴露 AI 编程工具的隐患

安全圈

2026年4月22日 19:02 江苏

在小说阅读器读本章

去阅读

关键词

数据泄露

近日，瑞典 AI 编程初创公司 Lovable 因一起数据安全事件再次引发行业关注。一位 X 平台用户（用户名 “Impulsive”）周一指出，该公司存在大规模数据泄露问题，影响范围涵盖 “2025 年 11 月之前创建的所有项目 “。该用户声称，通过其免费账户能够访问另一位用户的代码、AI 聊天记录以及客户数据。

更令人担忧的是，英伟达、微软、优步和 Spotify 等知名企业的员工账号也被波及。据称，这一漏洞早在 48 天前便被报告，但 Lovable 将其标记为重复问题并保持开放状态。

对此，Lovable 回应称，查看公共项目的代码是其设计初衷，并非数据泄露。然而，在公众对其信息透明度的强烈质疑下，该公司随后发布第二份声明承认了安全错误。声明中提到，”2 月份在统一后端权限时，我们意外重新启用了对公共项目聊天的访问权限。” 发现问题后，Lovable 立即撤销了更改，并感谢研究人员的反馈。

尽管部分用户认可 Lovable 的透明态度，但也有批评声音认为其最初的回应类似 ” 精神操控 “。安全专家汤姆 · 范 · 德 · 维尔指出，此次事件反映了 ” 缺乏安全默认设置以及未能为自动化和 AI 时代进行威胁建模 ” 的问题。他强调，依赖用户理解公开与私密内容的区别 ” 最终总是会失败 “。

ESET 全球网络安全顾问杰克 · 摩尔则认为，关于是否构成传统意义上的数据泄露的争论可能忽略了更大的风险。” 本质上更像是一种设计缺陷，因为数据被暴露而不是被黑客攻击。” 他还补充道，” 当一家公司争论语义而非影响时，通常意味着从第一天起就没有将安全性纳入其中。”

氛围编程的风险权衡

专业开发者普遍对过度依赖 AI 持谨慎态度，尤其是在 ” 氛围编程 ” 领域。这种模式被认为会产生混乱且未经测试的代码，同时还带来信息安全问题，包括敏感公司数据的意外暴露。

范 · 德 · 维尔表示，构建这些工具的公司在追求易用性与确保安全性之间往往面临两难选择。然而，这并不能成为弱保护的借口。” 公司既想降低新用户的使用门槛，又需防止数据被抓取，这对某些用户而言确实存在实际后果。”

摩尔进一步警告称，如果用户未能完全理解哪些内容会被暴露，氛围编程工具可能会加剧这些风险。” 不良默认设置正在加速，用户需要明确意识到这一点，并制定故障保险和备份措施。”

接连不断的安全失误

Lovable 的事件并非孤例。过去几周内，另外两家 AI 公司也相继曝出重大数据安全问题。三月下旬，Anthropic 意外泄露了一个包含近 2,000 个文件和 50 万行代码的存档；本周早些时候，网站托管平台 Vercel 也披露了一起未经授权访问内部系统的事件。

Vercel 透露，该事件源于第三方工具 Context.ai 的泄露，攻击者借此接管了一名员工的 Google Workspace 账户，从而获得对部分 Vercel 环境的访问权限。目前，Vercel 已聘请事件响应专家协助调查，并通知了执法部门。

在二月份的一期播客中，Andreessen Horowitz 普通合伙人 Anish Acharya 曾提醒企业不要在每个业务环节都使用 AI 辅助编码，因为这样做的风险可能得不偿失。

END

阅读推荐

【安全圈】航旅纵横崩了！

【安全圈】美国精工网站遭篡改，黑客称窃取客户数据

【安全圈】Anthropic MCP 设计漏洞可致远程代码执行，威胁人工智能供应链

【安全圈】情报显示，一起价值 1374 万美元的黑客攻击导致受制裁的 Grinex 交易所关闭

安全圈

←扫码关注我们

网罗圈内热点专注网络安全

实时资讯一手掌握！

好看你就分享有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈《【安全圈】Lovable 安全失误暴露 AI 编程工具的隐患》