Обнаружена критическая уязвимость в API Lovable, позволяющая несанкционированный доступ к исходному коду проектов пользователей и истории чатов с ИИ. Исследователь безопасности @weezerOSINT выявил, что уязвимость обхода авторизации на уровне объектов (BOLA) позволяет любому бесплатному аккаунту использовать вызовы API для доступа к конфиденциальным данным, включая учетные данные базы данных. Проблема, о которой сообщили 3 марта 2026 года, остается не устраненной спустя 48 дней, затрагивая старые проекты, в то время как новые защищены. Во время демонстрации исследователь получил доступ к проекту датской некоммерческой организации Connected Women in AI, раскрывая исходный код панели администратора и переписку разработчиков. Lovable первоначально отвергла проблему как особенность дизайна, но позже признала, что это ошибка, возникшая после переработки бэкенда. Компания раскритиковала команду триажа HackerOne за неправильную классификацию уязвимости. Lovable, оцененная в 6,6 миллиарда долларов, обслуживает крупных клиентов, таких как Uber и Deutsche Telekom.