Beveiligingsonderzoeker WeezerOSINT laat op X weten dat Vibe-coding platform Lovable de gegevens van gebruikers heeft gelekt. Het zou gaan om onder meer broncode, database-inloggegevens, AI-chatgeschiedenis en klantgegevens. Lovable biedt een platform voor het ontwikkelen van AI-applicaties. Het bedrijf claimt een waarde van 6,6 miljard dollar te hebben. Volgens WeezerOSINT is het mogelijk om via een gratis account de gegevens van andere gebruikers te bekijken.

De onderzoeker meldt dat hij het probleem reeds 48 dagen geleden rapporteerde, maar dat het nog altijd niet is verholpen. Lovable zou het probleem als een dubbele melding hebben bestempeld en derhalve niet hebben afgehandeld. Lovable gaf een initiële reactie waarin het stelt dat het helemaal niet om een datalek gaat. Het probleem zou volgens Lovable zijn veroorzaakt doordat de documentatie onduidelijk was. "Onze documentatie van wat publiek inhoudt was onduidelijk, en dat is een falen van onze kant", aldus de verklaring.

Wat later kwam Lovable met een nieuwe verklaring waarin het zegt dat de eerste verklaring de situatie geen recht deed. Chatberichten van publieke projecten werden al een tijd afgeschermd, maar na een verandering aan de API in februari waren deze berichten weer leesbaar. Een probleem dat nu weer verholpen is. Lovable zegt dat het de melding van de onderzoeker via HackerOne niet heeft opgepakt omdat het bugbountyplatform dacht dat het om bedoeld gedrag ging en de melding derhalve zonder escalatie heeft afgesloten.