Uma vulnerabilidade crítica na API da Lovable foi divulgada, permitindo acesso não autorizado ao código-fonte dos projetos dos usuários e aos históricos de conversas de IA. O pesquisador de segurança @weezerOSINT revelou que a falha de Bypass de Autorização em Nível de Objeto (BOLA) permite que qualquer conta gratuita explore chamadas da API para acessar dados sensíveis, incluindo credenciais do banco de dados. O problema, reportado em 3 de março de 2026, permanece sem correção após 48 dias, afetando projetos mais antigos enquanto os mais novos estão protegidos. Durante uma demonstração, o pesquisador acessou um projeto da organização dinamarquesa sem fins lucrativos Connected Women in AI, expondo o código-fonte do painel administrativo e as conversas dos desenvolvedores. Inicialmente, a Lovable descartou o problema como uma característica de design, mas depois admitiu que foi um erro decorrente de uma reformulação do backend. A empresa criticou a equipe de triagem da HackerOne por classificar incorretamente a vulnerabilidade. A Lovable, avaliada em US$ 6,6 bilhões, atende grandes clientes como Uber e Deutsche Telekom.