AI-platform Lovable udsatte brugerdata og chat-historier for utilsigtet eksponering

En forsker har afsløret en alvorlig sikkerhedsfejl på AI-platformen Lovable, hvor brugernes chat-historier med AI-modeller samt kildekode og databaseoplysninger blev gjort tilgængelige for andre brugere via platformens API.

Forskeren, der går under navnet @weezerOSINT på X (tidligere Twitter), rapporterede fundet mandag med et bevis på eksponeringen. »Jeg oprettede i dag en Lovable-konto og kunne umiddelbart tilgå en anden brugers kildekode, databaseoplysninger, AI-chat-historier og kundedata. Alt dette var læsbart for enhver gratis bruger,« skrev forskeren i sit indlæg.

Indlægget indeholdt også et screenshot af en anden brugers projektkode og chats samt en uafsluttet fejlrapport, der angiveligt havde forårsaget datalækket. Lovable har tidligere haft et massivt databrud, der påvirkede alle projekter oprettet før november 2025.

Forskeren brugte blot 30 minutter med xAI’s Grok 4.2-model til at identificere problemet. »Før AI ville det have taget timer eller dage at finde lignende sårbarheder,« udtalte @weezerOSINT til Fast Company.

Fejlen blev første gang rapporteret til Lovable via HackerOne allerede i marts, men platformen lukkede sagen med begrundelsen om, at eksponering af chatbeskeder og kode på offentlige projekter var »ønsket adfærd«. Lovable henviste til, at brugere, der markerer deres projekter som »offentlige«, automatisk gør koden synlig for andre.

Efter yderligere pres fra brugere og forskeren erkendte Lovable imidlertid, at chatbeskeder og AI-prompts også var blevet eksponeret på offentlige projekter – indtil for nylig. »Vi har nu rettet API'et, så chatbeskeder på offentlige projekter ikke længere er tilgængelige,« skrev Lovable i en opfølgende meddelelse på X. »Desværre aktiverede vi ved en fejl adgangen til chats på offentlige projekter igen i februar, da vi forenklede vores backend-permissioner.«

Lovable undskyldte i en senere erklæring for den uklare kommunikation og forklarede, hvordan problemet opstod. »I begyndelsen var Lovable ukendt for mange, så vi ønskede at gøre det nemt at udforske andres arbejde,« skrev virksomheden. »Men vores dokumentation var utilstrækkelig, og det er vores ansvar.«

Selvom Lovable har løst problemet, kan tidligere projekter oprettet før november 2025 stadig være sårbare, da fejlen var aktiv i en periode. Platformen har nu implementeret en rettelse, der forhindrer utilsigtet adgang til chatbeskeder, uanset projektets indstillinger.