Một lỗ hổng nghiêm trọng trong API của Lovable đã được tiết lộ, cho phép truy cập trái phép vào mã nguồn dự án của người dùng và lịch sử trò chuyện AI. Nhà nghiên cứu bảo mật @weezerOSINT đã tiết lộ rằng lỗi Bypass Ủy quyền Cấp độ Đối tượng (BOLA) cho phép bất kỳ tài khoản miễn phí nào khai thác các cuộc gọi API để truy cập dữ liệu nhạy cảm, bao gồm cả thông tin đăng nhập cơ sở dữ liệu. Vấn đề này, được báo cáo vào ngày 3 tháng 3 năm 2026, vẫn chưa được vá sau 48 ngày, ảnh hưởng đến các dự án cũ trong khi các dự án mới hơn được bảo vệ. Trong một buổi trình diễn, nhà nghiên cứu đã truy cập một dự án từ tổ chức phi lợi nhuận Đan Mạch Connected Women in AI, tiết lộ mã nguồn bảng quản trị và các cuộc trò chuyện của nhà phát triển. Ban đầu Lovable đã bác bỏ vấn đề này như một tính năng thiết kế nhưng sau đó thừa nhận đó là một lỗi do việc đại tu backend. Công ty đã chỉ trích nhóm phân loại của HackerOne vì đã phân loại sai lỗ hổng. Lovable, có giá trị 6,6 tỷ đô la, phục vụ các khách hàng lớn như Uber và Deutsche Telekom.