LovableのAPIに重大な脆弱性が公開され、ユーザーのプロジェクトのソースコードやAIチャット履歴への不正アクセスが可能となっています。セキュリティ研究者の@weezerOSINTは、オブジェクトレベル認可バイパス(BOLA)の欠陥により、無料アカウントでもAPIコールを悪用してデータベースの認証情報を含む機密データにアクセスできることを明らかにしました。この問題は2026年3月3日に報告されてから48日経過しても修正されておらず、古いプロジェクトに影響を与える一方で、新しいプロジェクトは保護されています。 デモンストレーション中に、研究者はデンマークの非営利団体Connected Women in AIのプロジェクトにアクセスし、その管理パネルのソースコードや開発者の会話を暴露しました。Lovableは当初、この問題を設計上の特徴として否定しましたが、後にバックエンドの大規模改修によるミスであることを認めました。同社はHackerOneのトリアージチームが脆弱性を誤分類したことを批判しています。評価額66億ドルのLovableは、UberやDeutsche Telekomなどの主要クライアントにサービスを提供しています。