Plataforma de IA Lovable expone historiales de chat y datos de usuarios por fallo de seguridad

Exposición masiva de datos en Lovable por fallo en su API

Un investigador de ciberseguridad, identificado en X como @weezerOSINT, reveló que la plataforma de desarrollo con IA Lovable expuso datos sensibles de usuarios, incluyendo historiales de chat con modelos de inteligencia artificial, códigos fuente, credenciales de bases de datos y datos de clientes. El problema afectaba a todos los proyectos creados antes de noviembre de 2025 y permitía el acceso a cualquier usuario con una cuenta gratuita.

En un mensaje publicado el pasado 20 de abril, el investigador compartió una captura de pantalla donde se visualizaba el código fuente de otro usuario, junto con conversaciones privadas con IA y datos de proyectos. Además, adjuntó un ticket sin resolver en el sistema de reporte de errores de la plataforma, que evidenciaba la vulnerabilidad.

Investigación acelerada con herramientas de IA

@weezerOSINT explicó a Fast Company que, gracias al modelo xAI Grok 4.2, pudo identificar y documentar la exposición en solo 30 minutos. Sin esta tecnología, el proceso habría requerido horas o incluso días. El investigador reportó el fallo a través de HackerOne a principios de marzo, pero la empresa cerró el caso argumentando que la visualización de chats en proyectos públicos era un comportamiento «intencional».

Respuesta de Lovable: error en permisos y parches retroactivos

Tras la publicación del hallazgo, Lovable emitió un comunicado en X (antes Twitter) aclarando que no había sufrido una brecha de datos, sino un problema en la configuración de visibilidad. Inicialmente, la empresa argumentó que los proyectos marcados como «públicos» estaban diseñados para compartir su código y chats con otros usuarios. Sin embargo, reconoció que su documentación no era clara y que esto constituía un fallo en su comunicación.

Posteriormente, Lovable publicó una segunda aclaración admitiendo que, durante una actualización de permisos en febrero de 2025, se reactivó accidentalmente el acceso a los chats de proyectos públicos. «Hemos parcheado retroactivamente nuestra API para evitar que los chats de proyectos públicos sean accesibles, independientemente de la configuración», declaró la empresa. «Lamentamos que nuestra primera respuesta no reflejara adecuadamente el error».

Proyectos afectados y lecciones aprendidas

La vulnerabilidad impactó a todos los proyectos creados antes de noviembre de 2025, fecha en la que Lovable unificó sus permisos de backend. Aunque la empresa cerró el ticket reportado en HackerOne por considerar que el acceso a chats públicos era «comportamiento esperado», el incidente ha puesto de manifiesto la importancia de una gestión clara de permisos y una comunicación transparente con los usuarios.

Como plataforma de vibe-coding (desarrollo mediante lenguaje natural), Lovable utiliza las instrucciones en lenguaje natural para generar código, por lo que los historiales de chat con IA son un componente crítico de sus proyectos. Este fallo subraya los riesgos asociados a la exposición involuntaria de datos en entornos de desarrollo colaborativo con IA.

«Creé una cuenta en Lovable hoy y pude acceder al código fuente de otro usuario, credenciales de bases de datos, historiales de chat con IA y datos de clientes. Todo era legible con una cuenta gratuita».