Une vulnérabilité critique dans l'API de Lovable a été révélée, permettant un accès non autorisé au code source des projets des utilisateurs ainsi qu'aux historiques de conversations de l'IA. Le chercheur en sécurité @weezerOSINT a révélé que la faille de contournement d'autorisation au niveau objet (BOLA) permet à tout compte gratuit d'exploiter les appels API pour accéder à des données sensibles, y compris les identifiants de base de données. Le problème, signalé le 3 mars 2026, reste non corrigé après 48 jours, affectant les projets plus anciens tandis que les plus récents sont protégés. Lors d'une démonstration, le chercheur a accédé à un projet de l'organisation danoise à but non lucratif Connected Women in AI, exposant le code source du panneau d'administration et les conversations des développeurs. Lovable a d'abord rejeté le problème comme une fonctionnalité de conception, mais a ensuite admis qu'il s'agissait d'une erreur liée à une refonte du backend. L'entreprise a critiqué l'équipe de triage de HackerOne pour avoir mal classé la vulnérabilité. Lovable, valorisée à 6,6 milliards de dollars, sert des clients majeurs tels qu'Uber et Deutsche Telekom.