Lovable'ın API'sinde kritik bir güvenlik açığı ortaya çıktı; bu açık, kullanıcıların proje kaynak kodlarına ve yapay zeka sohbet geçmişlerine yetkisiz erişime izin veriyor. Güvenlik araştırmacısı @weezerOSINT, Nesne Düzeyinde Yetkilendirme Atlatma (BOLA) açığının, herhangi bir ücretsiz hesabın API çağrılarını kullanarak veritabanı kimlik bilgileri dahil olmak üzere hassas verilere erişmesini sağladığını ortaya koydu. 3 Mart 2026'da bildirilen bu sorun, 48 gün sonra hâlâ düzeltilmemiş olup, eski projeleri etkilerken yeni projeler korunuyor. Bir gösterim sırasında, araştırmacı Danimarkalı kar amacı gütmeyen kuruluş Connected Women in AI'nin bir projesine erişerek yönetici paneli kaynak kodunu ve geliştirici sohbetlerini açığa çıkardı. Lovable başlangıçta sorunu bir tasarım özelliği olarak reddetti ancak daha sonra bunun bir arka uç yenilemesinden kaynaklanan bir hata olduğunu kabul etti. Şirket, HackerOne'ın önceliklendirme ekibini güvenlik açığını yanlış sınıflandırmakla eleştirdi. 6,6 milyar dolar değerindeki Lovable, Uber ve Deutsche Telekom gibi büyük müşterilere hizmet veriyor.