Lovable의 API에서 심각한 취약점이 공개되어 사용자의 프로젝트 소스 코드와 AI 채팅 기록에 무단 접근이 가능해졌습니다. 보안 연구원 @weezerOSINT는 객체 수준 권한 우회(Object-Level Authorization Bypass, BOLA) 결함이 모든 무료 계정이 API 호출을 악용하여 데이터베이스 자격 증명을 포함한 민감한 데이터에 접근할 수 있게 한다고 밝혔습니다. 2026년 3월 3일에 보고된 이 문제는 48일이 지난 현재까지도 패치되지 않아 오래된 프로젝트에 영향을 미치고 있으며, 최신 프로젝트는 보호되고 있습니다. 시연 중 연구원은 덴마크 비영리 단체인 Connected Women in AI의 프로젝트에 접근하여 관리자 패널 소스 코드와 개발자 대화를 노출시켰습니다. Lovable은 처음에 이 문제를 설계상의 기능으로 일축했으나, 이후 백엔드 개편 과정에서 발생한 오류임을 인정했습니다. 회사는 HackerOne의 분류 팀이 취약점을 잘못 분류한 것에 대해 비판했습니다. 66억 달러의 가치를 지닌 Lovable은 Uber와 Deutsche Telekom과 같은 주요 고객을 보유하고 있습니다.