Een onderzoeker onthulde dat het vibratiecoderingsplatform van Lovable de chatgeschiedenis van gebruikers blootlegde AI model voor andere gebruikers die toegang krijgen tot het platform via API (application programming interface).
gebruiker X @weezerOSINTblootstelling melden in a bericht op maandag. “Ik heb vandaag een Lovable-account aangemaakt en had toegang tot de broncode van andere gebruikers, databasegegevens, AI-chatgeschiedenis en klantgegevens, allemaal leesbaar voor elk gratis account”, schreven onderzoekers. Het bericht bevat screenshots van de projectcode en chats van andere Lovable-gebruikers, samen met onopgeloste bugtickets die naar verluidt het datalek hebben veroorzaakt.
In een vervolggesprek met Snel bedrijf@weezerOSINT (die zijn echte naam niet noemde) zei dat het hem 30 minuten kostte om een Grok 4.2 xAI-model te gebruiken om het onderzoek te doen, en voegde eraan toe dat vóór AI het vinden van een vergelijkbare blootstelling uren of dagen zou hebben geduurd.
@weezerOSINT meldde het probleem begin maart via HackerOne, een cyberbeveiligingsbedrijf dat bugbounty- en kwetsbaarheidsprogramma’s uitvoert. Maandag wezen onderzoekers erop dat de gegevens van Lovable-projecten die vóór november 2025 zijn gemaakt, nog steeds openbaar zijn.
Lovable weigerde een leidinggevende te geven om de situatie uit te leggen, en wees op zijn openbare verklaringen over X.
Zoet oorspronkelijk aan X verteld dat er geen ‘datalek’ heeft plaatsgevonden en dat het blootleggen van de projectcode ‘opzettelijk gedrag’ was. Wanneer gebruikers hun projecten als ‘openbaar’ markeren, legt het bedrijf uit, kiezen ze ervoor om hun code zichtbaar te maken voor andere gebruikers.
Hierbij wordt echter geen rekening gehouden met de blootstelling aan chat- en gebruikersverzoeken met AI-modellen, waartoe Lovable momenteel nog steeds toegang heeft voor openbare projecten.
“We hebben ook met terugwerkende kracht onze API gepatcht, zodat de openbare projectchat hoe dan ook niet toegankelijk is”, zei Lovable daarna. verduidelijking posten in
Met betrekking tot het eerste maartrapport van @weezerOSINT aan HackerOne zei Lovable dat het ticket was gesloten omdat “HackerOne-partners” geloofden dat het bekijken van openbare projectchat “wenselijk gedrag” was.
Als een trillingscodering platform behandelt Lovable de natuurlijke taalopdrachten die worden gebruikt om code te genereren als een kernonderdeel van het ontwikkelingsproces. Het bedrijf geloofde aanvankelijk dat de gemeenschap er baat bij zou hebben als ze zouden zien hoe andere ontwikkelaars opdrachten gebruikten om features, functies, componenten of databaseschema’s te bouwen, dus werd chat behandeld als standaard projectmetagegevens.
Maar de risico’s van het onthullen van gevoelige informatie in die chatgeschiedenis lijken groter te zijn dan de voordelen. Lovable zegt dat ze in december 2025 alle nieuwe projecten ‘standaard privé’ maken voor alle gebruikers.
die leuk zijn laatste financieringsronde kwam in december 2025, toen het $330 miljoen ophaalde van CapitalG, Menlo Ventures, Khosla Ventures en anderen. Na de ronde werd het bedrijf gewaardeerd op 6,6 miljard dollar, wat naar verluidt in ongeveer vijf maanden zou zijn verdrievoudigd.
