漏洞事件概述 - 2025年3月安全研究员发现Lovense存在两项高危漏洞：邮箱明文传输导致用户真实邮箱在1秒内被精准定位，以及无需密码即可登录账户并远程操控智能玩具[1] - 漏洞影响全球超2000万用户，网络主播群体因公开用户名面临更高风险[2] - 同类漏洞早在2023年9月已被报告但未实际修复[3] 厂商应对争议 - 研究员通过HackerOne平台提交漏洞获3000美元赏金[5] - 公司要求14个月修复期但拒绝1个月内可实现的临时方案[6] - 公司7月初宣称已修复但漏洞仍可复现，最终在舆论压力下48小时内紧急修复[6] - CEO对外宣称评估法律追诉引发公众不满[6] 行业系统性隐患 - 企业存在重功能轻安全的设计痼疾，邮箱泄露是自2016年来第三次同类事故[10] - 弱认证机制和明文传输等低级漏洞反复出现[10] - 全球缺乏针对智能情趣用品的强制安全认证，欧盟已依《网络弹性法案》启动调查（最高罚全球年收入2.5%）[10] - 隐私与身体自主权不可妥协，商业便利凌驾安全之上将导致监管重锤和用户觉醒[7][8]