Se ha revelado una vulnerabilidad crítica en la API de Lovable, que permite el acceso no autorizado al código fuente de los proyectos de los usuarios y a los historiales de chat de IA. El investigador de seguridad @weezerOSINT reveló que la falla de Omisión de Autorización a Nivel de Objeto (BOLA) permite que cualquier cuenta gratuita explote llamadas a la API para acceder a datos sensibles, incluidas las credenciales de la base de datos. El problema, reportado el 3 de marzo de 2026, sigue sin parchear después de 48 días, afectando a proyectos antiguos mientras que los más nuevos están protegidos. Durante una demostración, el investigador accedió a un proyecto de la organización danesa sin fines de lucro Connected Women in AI, exponiendo el código fuente del panel de administración y las conversaciones de los desarrolladores. Lovable inicialmente desestimó el problema como una característica de diseño, pero luego admitió que fue un error derivado de una renovación del backend. La empresa criticó al equipo de triaje de HackerOne por clasificar erróneamente la vulnerabilidad. Lovable, valorada en 6.600 millones de dólares, atiende a clientes importantes como Uber y Deutsche Telekom.