Lovable 安全吗? 如何加固你的 Lovable 应用
Lovable 出活很快,还会自动帮你接好 Supabase 后端——但它经常把你的数据库设成对外可读。
Lovable 本身并非「不安全」,但它生成的应用常常并不安全。最常见的问题是它所配置的 Supabase 数据库缺少行级安全(RLS)或策略过于宽松,导致任何人都能读取(有时还能写入)你用户的数据。CVE-2025-48757 以及 2026 年 4 月的大规模数据外泄,根源都在于此。
Lovable 是一款正规的 AI 应用构建工具,但它默认生成的应用往往并不安全。最常见的问题是 Supabase 行级安全(RLS)缺失或过于宽松,使得任何持有公开 anon 密钥的人都能读取——有时甚至写入——你用户的数据。Lovable CVE-2025-48757 和 2026 年 4 月的大规模外泄都源于此。你完全可以在 Lovable 上做出安全的产品,但必须把生成的应用当作初稿,在上线前做一次安全检查。
Lovable 安全速览
- 平台类型
- 无代码 AI 应用构建工具(Supabase 后端)
- 最常见风险
- Supabase 数据表的行级安全被设为公开
- 重大事件
- CVE-2025-48757(CVSS 最高 9.3,影响 170+ 应用)
- 如何检查
- 用你的 anon 密钥运行免费 Supabase RLS 检测
- 可以上线吗?
- 可以——在启用 RLS 并完成安全复核之后
Lovable 最常见的安全风险
行级安全被完全敞开
数据表常常对公开 anon 密钥可读。「我启用了 RLS 所以没事」是最常见、也最错误的假设。即使看起来启用了 RLS,Lovable 也经常把读取权限完全敞开。
密钥被打包进浏览器
service-role 密钥、Stripe 密钥等机密信息可能进入前端打包文件,任何人打开开发者工具就能看到。
后台路由没有真正的鉴权
生成的后台管理面板常常无需正确的授权检查即可访问,任何人猜到网址就能进入。
Lovable mass data exposure
Every project before Nov 2025
A disclosure claimed every Lovable project created before November 2025 was exposed — driven by missing row-level security on user databases.
Public disclosure, Apr 2026 (amplified across X/HN)
如何加固你的 Lovable 应用
60 秒检查你的 Lovable 应用
粘贴你已部署的网址,获取免费的上线就绪扫描,再在上线前拿到真人复核、带保险的放行许可。
Lovable 安全常见问题
- Lovable 适合用来做正式产品吗?
- 适合,但需要复核。Lovable 是正规平台,但默认输出往往缺少正确的行级安全,还可能泄露密钥。把生成的应用当作上线前需要做一次安全检查的初稿。
- 怎么知道我的 Lovable 应用数据库是否暴露?
- 用你的项目网址和公开 anon 密钥运行我们的免费 Supabase RLS 检测——它会列出所有无需鉴权即可读取的数据表。
- Lovable 为什么会把 RLS 敞开?
- Lovable 优先追求「快速产出可运行的软件」。为每张表自动生成严格正确的行级安全策略很难做到,因此它常常给出宽松默认值,并默认由你自己去收紧。