Eine kritische Sicherheitslücke in der API von Lovable wurde bekannt, die unbefugten Zugriff auf den Quellcode von Nutzerprojekten und AI-Chatverläufe ermöglicht. Der Sicherheitsforscher @weezerOSINT enthüllte, dass die Schwachstelle Object-Level Authorization Bypass (BOLA) es jedem kostenlosen Konto erlaubt, API-Aufrufe auszunutzen, um auf sensible Daten, einschließlich Datenbankzugangsdaten, zuzugreifen. Das Problem, das am 3. März 2026 gemeldet wurde, ist nach 48 Tagen noch immer nicht behoben und betrifft ältere Projekte, während neuere geschützt sind. Während einer Demonstration griff der Forscher auf ein Projekt der dänischen Non-Profit-Organisation Connected Women in AI zu und legte den Quellcode des Admin-Panels sowie Entwicklergespräche offen. Lovable wies das Problem zunächst als Designmerkmal zurück, gab später jedoch zu, dass es sich um einen Fehler bei einer Backend-Überarbeitung handelte. Das Unternehmen kritisierte das Triage-Team von HackerOne für die Fehleinstufung der Schwachstelle. Lovable, mit einem Wert von 6,6 Milliarden Dollar, betreut große Kunden wie Uber und Deutsche Telekom.