核心观点 - 欧洲氛围编码初创公司Lovable存在系统性安全漏洞，170款应用程序暴露用户敏感数据（姓名、邮箱、财务信息、API密钥）[1][3][8] - 漏洞根源在于Supabase数据库RLS（行级安全）配置错误，攻击者可绕过前端直接访问/修改数据[3][6][11] - Lovable初期否认漏洞存在并删除证据，后续推出"安全扫描"功能但未解决架构缺陷[4][10][11] - 氛围编码工具降低开发门槛的同时，将安全责任转嫁给缺乏经验的用户[13][15][20] - 行业面临新挑战：业余开发者创建的应用成为黑客主要攻击目标，安全标准倒退至90年代水平[20][21][23] 安全漏洞细节 - **漏洞规模**：Replit员工扫描1645款Lovable应用，确认170款存在数据泄露风险（占比10.3%）[1][8] - **典型案例**：Linkable网站漏洞暴露500名用户邮箱，修改查询参数即可访问完整数据库[3][4] - **技术原因**：客户端驱动架构与后端RLS策略错配，Supabase未启用访问控制[3][6][11] - **修复情况**：45天披露窗口期后仍未彻底修复，CVE编号已发布（CVE-2025-48757）[11][12] 行业影响 - **安全责任争议**：氛围编码公司承诺"轻松创建应用"，却要求用户自行承担安全审查[15][16] - **解决方案分歧**： - Replit主张沙箱机制限制应用功能边界[16] - Semgrep等公司开发自动化安全层工具[21] - **黑客威胁升级**：国家资助的专业黑客利用自动化工具攻击低防御应用[20][21] - **历史对比**：当前氛围编码安全水平类似90年代Web早期，但攻击者技术更先进[20][21] 公司动态 - **Lovable应对措施**： - 4月24日推出Lovable 2.0，新增基础安全扫描功能[10] - 5月30日承认安全未达预期，承诺持续改进[16] - **行业竞争**：Replit公开批评Lovable安全缺陷，被指存在商业竞争动机[16][19] - **CEO表态**： - Lovable创始人Anton Osika暗示快速迭代优先于完美安全[22] - Replit CEO Amjad Masad强调工具应内置防泄露机制[16]