Een onderzoeker onthulde dat het vibe-coderingsplatform Lovable de chatgeschiedenis van gebruikers blootlegde AI modellen aan andere gebruikers die toegang krijgen tot het platform via een API (application programming interface).
X-gebruiker @weezerOSINTrapporteerde de blootstelling in a bericht op maandag. “Ik heb vandaag een Lovable-account gemaakt en kreeg toegang tot de broncode van een andere gebruiker, de databasegegevens, de AI-chatgeschiedenis en klantgegevens zijn allemaal leesbaar voor elk gratis account”, schreef de onderzoeker. Het bericht bevatte een screenshot van de projectcode en chats van een andere Lovable-gebruiker, samen met een onopgelost ticket voor de bug die het datalek zou hebben veroorzaakt.
In een vervolggesprek met Snel bedrijf@weezerOSINT (die zijn echte naam niet deelde) zegt dat het 30 minuten duurde met behulp van xAI’s Grok 4.2-model om het onderzoek uit te voeren, eraan toevoegend dat vóór AI het vinden van vergelijkbare blootstellingen uren of dagen zou duren.
@weezerOSINT meldde het probleem begin maart via HackerOne, een cyberbeveiligingsbedrijf dat bugbounty- en kwetsbaarheidsprogramma’s uitvoert. Maandag liet de onderzoeker zien dat Lovable-projecten die vóór november 2025 zijn gemaakt, de gegevens nog steeds blootleggen.
Lovable weigerde een leidinggevende te geven om de situatie uit te leggen, en wees op zijn openbare verklaring over X.
Lief zei aanvankelijk op X dat er geen ‘datalek’ had plaatsgevonden en dat het blootleggen van projectcode ‘opzettelijk gedrag’ was. Wanneer gebruikers hun projecten als ‘openbaar’ markeren, legt het bedrijf uit, kiezen ze ervoor om hun code zichtbaar te maken voor andere gebruikers.
Maar dat hield geen rekening met de blootstelling van chats en prompts van gebruikers aan het AI-model, dat Lovable tot voor kort toegankelijk maakte voor publieke projecten.
“We hebben ook met terugwerkende kracht onze API gepatcht, zodat openbare projectchats hoe dan ook niet toegankelijk waren”, zei Lovable in een seconde: verduidelijkende post op X. “Helaas hebben we in februari, terwijl we de rechten in onze backend verenigden, per ongeluk de toegang tot chats op openbare projecten opnieuw ingeschakeld.”
Wat het rapport van @weezerOSINT begin maart aan HackerOne betreft, zegt Lovable dat het ticket was gesloten omdat de “HackerOne-partners” geloofden dat het bekijken van de chats van openbare projecten “het beoogde gedrag” was.
Als een vibe-codering platform, behandelt Lovable aanwijzingen in natuurlijke taal die worden gebruikt om code te genereren als een kernonderdeel van het bouwproces. Het bedrijf geloofde aanvankelijk dat de gemeenschap er baat bij zou hebben als ze zouden zien hoe andere ontwikkelaars aanwijzingen gebruikten om features, functies, componenten of databaseschema’s te bouwen, dus chats werden behandeld als standaard projectmetagegevens.
Maar het risico van het openbaar maken van gevoelige informatie in die chatgeschiedenis lijkt groter te zijn geweest dan dat voordeel. Lovable zegt dat het in december 2025 alle nieuwe projecten ‘standaard privé’ heeft gemaakt voor alle gebruikers.
Liefs meest recente financieringsronde kwam in december 2025, toen het $330 miljoen ophaalde van CapitalG, Menlo Ventures, Khosla Ventures en anderen. Na de ronde werd het bedrijf gewaardeerd op 6,6 miljard dollar, wat naar verluidt de waardering in ongeveer vijf maanden verdrievoudigde.
