Het AI-ontwikkelplatform Lovable kwam onder vuur te liggen na meldingen van een kwetsbaarheid die het mogelijk maakte voor gebruikers om gevoelige gegevens van andere gebruikers in te zien. Een beveiligingsonderzoeker, actief op X onder de naam @weezerOSINT, ontdekte dat met een gratis account onder meer broncode, inloggegevens en chatgeschiedenis van andere projecten toegankelijk waren, zonder dat daar een geavanceerde aanval voor nodig was. Dit werd gemeld door The Register.

De oorzaak van het lek lag bij een Broken Object Level Authorization-kwetsbaarheid, waarbij onvoldoende werd gecontroleerd of een gebruiker wel de juiste rechten had om bepaalde gegevens op te vragen. Lovable reageerde aanvankelijk terughoudend en stelde dat er geen sprake was van een datalek. Volgens het bedrijf hing de zichtbaarheid van gegevens samen met instellingen voor openbare projecten en zou onduidelijke documentatie tot misverstanden hebben geleid. In een latere verklaring erkende Lovable dat de eerdere communicatie tekortschietend was en gaf het aan dat het onderscheid tussen openbare en privéprojecten in de praktijk voor verwarring zorgde. Gebruikers gingen ervan uit dat alleen gepubliceerde applicaties zichtbaar waren, terwijl ook onderliggende chatgegevens toegankelijk bleken te zijn. Het ontwerp van het systeem bood volgens Lovable onvoldoende duidelijkheid hierover.

De kwetsbaarheid was eerder gemeld via het bug bounty-platform HackerOne, maar werd daar niet geëscaleerd omdat de zichtbaarheid van bepaalde gegevens werd gezien als beoogd gedrag. Pas nadat de kwestie opnieuw onder de aandacht kwam, sloot Lovable de toegang tot chatgegevens van openbare projecten af. Het bedrijf stelt dat het probleem inmiddels is verholpen en dat chatgegevens van projecten niet langer toegankelijk zijn voor andere gebruikers. Daarnaast benadrukt Lovable dat gebruikers altijd de mogelijkheid hadden om projecten op privé te zetten, al was die optie in het verleden niet voor alle gebruikers beschikbaar.

Dit incident benadrukt de groeiende zorgen rondom beveiliging bij AI-platforms, zeker nu deze technologie steeds vaker wordt ingezet binnen bedrijfsomgevingen. Organisaties zoals Uber en Deutsche Telekom maken volgens eerdere aankondigingen gebruik van de technologie van Lovable, waardoor een kwetsbaarheid als deze een bredere impact kan hebben dan alleen individuele gebruikers.