在 AI 編程助手蓬勃發展的當下，安全問題正成為行業不容忽視的隱憂。近期，AI 編程助手公司 Replit 與號稱 “歐洲版 Cursor” 的 Lovable 之間，因安全漏洞問題掀起了一場風波，引發了業界的廣泛關注。?

Replit 的員工 Matt Palmer 披露，他與同事對 Lovable 網站上 1645 款由其開發的 Web 應用程序進行掃描后，竟發現其中 170 款存在嚴重漏洞。這些漏洞使得任何人都能輕易訪問網站用戶的敏感信息，如姓名、電子郵件地址、財務信息，甚至 AI 服務的 API 密鑰。目前，該漏洞已被列入國家漏洞數據庫，凸顯出 AI 降低開發門檻背后隱藏的巨大安全風險，新手開發的應用，一不小心就可能淪為黑客的 “盤中餐”。?

Lovable 作為一家瑞典初創企業，致力于讓客戶僅通過自然語言提示詞，就能在無需專業技術培訓的情況下創建網站及應用程序，試圖成為 “軟件體系的最后一塊拼圖”。想法雖美好，現實卻殘酷。據 Matt Palmer 介紹，Lovable 平臺開發的應用程序常常缺乏安全的 RLS（后端權限控制）配置，這一缺陷讓未經授權者有機可乘，能夠肆意訪問敏感用戶數據，甚至注入惡意數據。?

Lovable 的應用程序以客戶端驅動為主，身份驗證和數據存儲等后端操作依賴外部服務。這種架構看似輕巧，實則將安全責任部分轉嫁給了應用程序開發者。客戶端邏輯與后端權限控制（RLS）策略的錯位，就像一顆定時炸彈，頻繁引發漏洞，攻擊者借此輕松繞過前端控制，對數據進行隨意訪問和修改。?

今年 3 月 20 日，Palmer 發現 Lovable 創建的 Linkable 網站存在漏洞，只需修改查詢參數，就能獲取項目 “用戶” 表中的所有數據，他甚至因此看到了約 500 名該應用用戶的電子郵件地址。當 Palmer 在 Lovable 官方賬號下指出問題后，對方先是矢口否認，接著刪除推文和網站。可沒過多久，Linkable 重新上線還開始收費。原來，是 Supabase 數據庫配置不正確導致問題依舊存在。Palmer 向 Lovable 聯合創始人兼 CEO Anton Osika 發出通知，卻只得到 “沒有問題” 這樣敷衍的回應。?

次日，Palmer 和同事 Kody Low 深入分析，最終確定了 170 個存在漏洞的 Lovable 網站。4 月 14 日，他們正式披露漏洞，并開啟 45 天的披露窗口期。4 月 15 日，軟件工程師 Danial Asaria 也發現了這一漏洞，并在 X 平臺提醒開發者：選擇托付個人數據的氛圍編碼平臺時務必謹慎。他自稱以一個僅用 15 行 Python 代碼的好奇開發者身份，在短短 47 分鐘內，就從 Lovable 推薦頁面上的多個網站中找到了大量個人債務金額、家庭住址、API 密鑰等敏感信息。?

面對外界質疑，Lovable 回應稱已實施新功能，會在應用發布前掃描安全問題。4 月 24 日，Lovable 推出 “Lovable 2.0”，新增 “安全掃描” 功能。但 Palmer 直言，該功能根本沒有解決底層 RLS 架構缺陷。漏洞報告顯示，這項安全掃描僅僅是確定 Supabase 數據庫是否啟用訪問控制，而對于控制選項是否正確配置這一關鍵問題，卻選擇了回避，導致網站依然面臨數據操縱和注入等嚴重安全問題，充分暴露出 Lovable 生態系統中系統性的 RLS 實施缺陷。?

由于 Lovable 始終未采取有效修復措施，也未通知用戶，Replit 員工在 5 月 29 日發布了該漏洞的 CVE 編號。其實，Lovable 本身并不構建數據庫，只是為用戶接入 Supabase 初創公司運營的數據庫服務提供便捷方式。對于敏感數據，Lovable 只是建議進行 “人工安全審查”，將安全責任部分丟給了使用氛圍編碼的客戶。?

5 月 30 日，Lovable 在 X 上回應稱，相比幾個月前，在構建安全應用方面已有顯著提升，且仍在快速改進。據悉，Replit 公司正在探索沙箱方法，以此限制氛圍編碼應用程序可能造成的損害，明確責任邊界，這或許也是他們怒揭 Lovable 安全問題的原因之一。?

此次事件為整個 AI 編程助手行業敲響了警鐘。在追求便捷開發的同時，安全絕不能被忽視。無論是開發工具提供商，還是開發者自身，都應將安全置于首位，共同為 AI 編程創造一個安全可靠的環境。廣大開發者在選擇編程工具時，也需多留個心眼，仔細考量工具的安全性，避免因小失大。?

科技脈搏，每日跳動。

與敖行客 Allthinker一起，創造屬于開發者的多彩世界。

- 智慧鏈接 思想協作 -