資訊保安 AI 編程平台 Lovable 爆 BOLA 漏洞 免費帳戶即可讀取他人原始碼與憑證 by Antony Shum on 21 四月, 2026 資訊保安 AI編程 BOLA漏洞 Hackerone Lovable 資訊安全 瑞典 AI 編程平台 Lovable 近日爆出嚴重 API 漏洞,任何免費帳戶只須發出 5 次 API 呼叫,即可取得其他用戶的原始碼、資料庫憑證、AI 對話紀錄以至客戶資料,影響範圍涵蓋 2025 年 11 月前建立的每個項目,安全研究員 @weezerOSINT 早於 3 月 3 日透過 HackerOne 通報,惟 HackerOne 將該報告標記為「重複提交」,擱置 48 日才於 4 月 20 日經 X 平台公開披露。 read more
