打开网易新闻 查看精彩图片

编程平台Lovable被指控托管存在漏洞的应用程序,此前该平台表示用户需自行负责解决发布前标记的安全问题。

具有软件工程背景的科技企业家Taimur Khan在一个Lovable托管的应用中发现了16个漏洞,其中6个被他认为是严重漏洞,这些漏洞导致超过1.8万人的数据泄露。

在披露过程中,Khan拒绝透露该应用的名称,但该应用确实托管在Lovable平台上,并在其Discover页面展示。在Khan开始调查时,该应用已有超过10万次浏览量和约400个点赞。

Khan表示,主要问题在于所有在Lovable平台上进行vibe编程的应用都使用Supabase作为后端支撑,Supabase通过PostgreSQL数据库连接处理身份验证、文件存储和实时更新。

然而,当开发者(在这种情况下是AI)或人类项目所有者未能明确实施关键安全功能,如Supabase的行级安全和基于角色的访问控制时,生成的代码看起来功能正常,但实际上存在缺陷。

其中一个例子是格式错误的身份验证函数。对Supabase后端进行vibe编程的AI使用远程过程调用实现了有缺陷的访问控制逻辑,实质上阻止了已认证用户的访问,却允许未认证用户访问。

Khan说,原本的意图是阻止非管理员访问应用的某些部分,但错误的实现却阻止了所有已登录用户——他说这个错误在多个关键功能中都有重复。

"这是颠倒的,"Khan说。"防护机制阻止了应该允许的人,却允许了应该阻止的人。这是一个典型的逻辑反转,人类安全审查员几秒钟就能发现——但AI代码生成器为了'能工作的代码'而优化,产生并部署到生产环境中。"

由于该应用本身是一个创建考试问题和查看成绩的平台,用户群自然由教师和学生组成。Khan说,一些用户来自美国顶尖大学,如加州大学伯克利分校和加州大学戴维斯分校,同时"平台上也有可能有未成年人的K-12教育机构"。

由于安全漏洞的存在,未认证的攻击者可以轻易访问每个用户记录,通过平台发送批量邮件,删除任何用户账户,为学生测试提交评分,并访问组织的管理员邮箱等。

在暴露的18,697个用户记录中,14,928个包含唯一邮箱地址。数据集包括4,538个学生账户(全部带有邮箱地址)、10,505个企业用户,以及870个完整个人身份信息被暴露的用户。

这里的安全漏洞并非Lovable托管应用独有,这是一个更广泛的问题,现在已经被充分报道。

被柯林斯词典评为2025年度词汇的Vibe编程承诺打破软件开发的陡峭学习曲线,让任何提示工程师都能将他们的应用创意变为现实。

然而,当AI不是在追求丰厚漏洞奖金时生成垃圾错误报告,或者灾难性地忽视指令时,它可能会产生看起来华丽但漏洞百出的应用程序

例如,Veracode最近发现45%的AI生成代码含有安全漏洞,更不用说The Register在最近几个月报告的无数悲惨故事。

Khan说他认为Lovable应该对其托管应用的安全性负责,当他通过公司支持渠道报告发现后,他的工单据报告在没有回应的情况下被关闭,这让他特别恼火。

"如果Lovable要将自己营销为一个生成包含身份验证的生产就绪应用的平台,它就要对其生成和推广的应用的安全态势承担一定责任,"Khan说。

"你不能向10万人展示一个应用,在自己的基础设施上托管它,然后在有人告诉你它正在泄露用户数据时关闭工单。至少,对展示的应用程序进行基本的安全扫描就能发现此报告中的每个关键发现。"

Lovable告诉The Register,公司已联系相关应用的所有者,并"极其严肃地对待此类发现"。

关于关闭工单的问题,Lovable首席信息安全官Igor Andriushchenko说,公司仅在2月26日晚上收到了"正式的披露报告",并在"几分钟内"对发现采取了行动。

"使用Lovable构建的任何项目在发布前都包含免费安全扫描,"Andriushchenko告诉The Register。"此扫描检查漏洞,如果发现漏洞,会提供解决建议以便在发布前采取行动。"

"最终,是否实施这些建议由用户自行决定。在这种情况下,没有进行实施。"

"这个项目还包含非Lovable生成的代码,有漏洞的数据库也不是由Lovable托管。我们已与应用创建者取得联系,他们现在正在解决这个问题。"

Q&A

Q1:Lovable平台是什么?有什么安全问题?

A:Lovable是一个vibe编程平台,让用户通过AI生成应用程序。安全问题在于该平台托管的应用程序存在严重漏洞,研究员在一个应用中发现16个漏洞,其中6个严重漏洞导致1.8万用户数据泄露。

Q2:为什么AI生成的代码会有这么多安全漏洞?

A:因为AI代码生成器主要优化"能工作的代码",当开发者或项目所有者未能明确实施关键安全功能时,AI会生成看起来功能正常但实际存在缺陷的代码。例如身份验证逻辑反转,阻止了应该允许的用户,却允许了应该阻止的用户。

Q3:Lovable对这些安全问题承担什么责任?

A:Lovable表示会提供免费安全扫描并给出修复建议,但最终实施由用户决定。公司认为有问题的数据库不是由Lovable托管,且项目包含非Lovable生成的代码。不过研究员认为作为平台方,Lovable应该对其托管和推广的应用安全性承担更多责任。