Een onderzoeker onthulde dat het vibe-coderingsplatform Lovable de chatgeschiedenis van gebruikers onthulde AI modellen aan andere gebruikers die toegang krijgen tot het platform via een API (application programming interface).
X-gebruiker @weezerOSINTrapporteerde de blootstelling in a bericht op maandag. “Ik heb vandaag een Lovable-account aangemaakt en kreeg toegang tot de broncode van een andere gebruiker, databasegegevens, AI-chatgeschiedenissen en klantgegevens kunnen allemaal door elk gratis account worden gelezen”, schreef de onderzoeker. Het bericht bevatte een screenshot van de projectcode en chats van een andere Lovable-gebruiker, samen met een onopgelost ticket voor de bug die het datalek zou hebben veroorzaakt.
In een vervolggesprek met Snel bedrijf@weezerOSINT (die zijn echte naam niet deelde) zegt dat het 30 minuten duurde om het Grok 4.2-model van xAI te gebruiken om het onderzoek uit te voeren, en voegde eraan toe dat het vóór AI uren of dagen zou duren om vergelijkbare belichtingen te vinden.
@weezerOSINT meldde het probleem begin maart via HackerOne, een cyberbeveiligingsbedrijf dat bugbounty- en kwetsbaarheidsprogramma’s uitvoert. Maandag liet de onderzoeker zien dat Lovable-projecten die vóór november 2025 zijn gemaakt, de gegevens nog steeds blootleggen.
Lovable weigerde een manager te geven om de situatie uit te leggen, verwijzend naar zijn openbare verklaring over X.
Lief oorspronkelijk gezegd op X dat er geen “datalek” had plaatsgevonden en dat de openbaarmaking van de projectcode “opzettelijk gedrag” was. Wanneer gebruikers hun projecten als ‘openbaar’ markeren, legt het bedrijf uit, kiezen ze ervoor om hun code zichtbaar te maken voor andere gebruikers.
Maar er werd geen rekening gehouden met de blootstelling van gebruikerschats en -prompts met het AI-model dat Lovable tot voor kort beschikbaar stelde voor publieke projecten.
“We hebben ook met terugwerkende kracht onze API gepatcht, zodat openbare projectchats hoe dan ook niet toegankelijk waren”, zei Lovable in een seconde: verklarende post op X. “Helaas hebben we in februari, terwijl we de rechten in onze backend verenigden, per ongeluk de toegang tot chats op openbare projecten opnieuw ingeschakeld.”
Wat het rapport van @weezerOSINT begin maart aan HackerOne betreft, zegt Lovable dat het ticket was gesloten omdat de “HackerOne-partners” geloofden dat het bekijken van openbare projectchats “het beoogde gedrag” was.
Zoals één Vibe-codering platform behandelt Lovable natuurlijke taalaanwijzingen die worden gebruikt om code te genereren als een kernonderdeel van het bouwproces. Het bedrijf geloofde aanvankelijk dat de gemeenschap er baat bij zou hebben als ze zouden zien hoe andere ontwikkelaars aanwijzingen gebruikten om features, functies, componenten of databaseschema’s te bouwen, dus chats werden behandeld als standaard projectmetagegevens.
Maar het risico van het onthullen van gevoelige informatie in deze chatgeschiedenis lijkt dit voordeel te hebben gecompenseerd. Lovable zegt dat het in december 2025 alle nieuwe projecten “standaard privé” heeft gemaakt voor alle gebruikers.
Heerlijk laatste financieringsronde kwam in december 2025 toen het $330 miljoen ophaalde van CapitalG, Menlo Ventures, Khosla Ventures en anderen. Na de ronde werd het bedrijf gewaardeerd op 6,6 miljard dollar, wat naar verluidt de waardering in ongeveer vijf maanden verdrievoudigde.
