Lovable: KI-Chats und Nutzerdaten durch API-Schwachstelle öffentlich zugänglich

Sicherheitslücke bei Lovable: Nutzerdaten über API zugänglich

Ein Sicherheitsforscher hat eine schwerwiegende Sicherheitslücke auf der KI-Programmierplattform Lovable aufgedeckt. Demnach konnten Nutzer über die API auf Chatverläufe, Quellcode, Datenbankzugangsdaten und weitere sensible Informationen anderer Nutzer zugreifen. Der Forscher, der sich unter dem Pseudonym @weezerOSINT auf X (ehemals Twitter) äußerte, veröffentlichte am 20. April 2026 einen Screenshot sowie einen offenen Bug-Ticket-Eintrag als Beweis.

„Ich habe heute ein Lovable-Konto erstellt und konnte auf den Quellcode eines anderen Nutzers, Datenbankzugangsdaten, KI-Chats und Kundendaten zugreifen – alles über ein kostenloses Konto“, erklärte der Forscher in seinem Post. Die betroffenen Daten stammen laut Lovable von Projekten, die vor November 2025 erstellt wurden.

Forschung mit KI beschleunigt

@weezerOSINT gab an, für die Entdeckung der Schwachstelle nur 30 Minuten mit dem KI-Modell xAI Grok 4.2 benötigt zu haben. Ohne KI hätte die Analyse laut eigenen Angaben Stunden oder Tage gedauert. Der Forscher meldete den Vorfall bereits Anfang März über die Plattform HackerOne, die für Bug-Bounty-Programme bekannt ist.

Lovable räumt Fehler ein und korrigiert Schwachstelle

Lovable reagierte zunächst mit einer Stellungnahme auf X und behauptete, es habe sich keinen Datenleck ereignet. Das Unternehmen argumentierte, dass Nutzer, die ihre Projekte als „öffentlich“ markieren, bewusst deren Code für andere sichtbar machen. Diese Erklärung bezog sich jedoch nicht auf die exponierten Chatverläufe und KI-Prompts.

„Wir wurden auf Bedenken hinsichtlich der Sichtbarkeit von Chat-Nachrichten und Code in öffentlichen Lovable-Projekten aufmerksam gemacht. Zur Klarstellung: Es gab keinen Datenleck. Unsere Dokumentation zu den öffentlichen Einstellungen war unklar – das ist unser Fehler.“
— Lovable (@Lovable), 20. April 2026

Erst in einem zweiten Beitrag räumte Lovable ein, dass die Chats öffentlicher Projekte bis vor Kurzem über die API zugänglich waren. Das Unternehmen erklärte:

„Wir haben unseren API-Zugriff nachträglich gepatcht, sodass Chats in öffentlichen Projekten nicht mehr ausgelesen werden können – unabhängig von den Einstellungen. Leider haben wir im Februar bei der Vereinheitlichung der Berechtigungen im Backend versehentlich den Zugriff auf die Chats öffentlicher Projekte wieder aktiviert.“
— Lovable (@Lovable), 20. April 2026

HackerOne schloss Ticket als „beabsichtigtes Verhalten“

Laut Lovable wurde der von @weezerOSINT eingereichte Bug-Ticket-Eintrag bei HackerOne geschlossen, da die Partner des Programms die Sichtbarkeit der Chats in öffentlichen Projekten als „beabsichtigte Funktion“ einstuften. Als vibe-coding-Plattform behandelt Lovable natürlichsprachliche Prompts, die zur Code-Generierung genutzt werden, als zentralen Bestandteil der Projekte.

Fazit: Plattform verbessert Sicherheit nach Vorfall

Lovable entschuldigte sich für die unklare Kommunikation und versprach, die Dokumentation zu den öffentlichen Projekteinstellungen zu überarbeiten. Die Sicherheitslücke betraf laut Unternehmen ausschließlich Projekte, die vor November 2025 erstellt wurden. Nutzer wurden aufgefordert, ihre Projekteinstellungen zu überprüfen, um die Sichtbarkeit ihrer Daten zu kontrollieren.

Der Vorfall unterstreicht die Herausforderungen, die mit der Integration von KI in Entwicklerplattformen einhergehen – insbesondere in Bezug auf Datenschutz und Sicherheit.