Kecacatan Keamanan Lovable Memungkinkan Akses Data Pengguna
Seorang peneliti keamanan menemukan celah keamanan pada platform vibe-coding Lovable yang memungkinkan pengguna lain mengakses riwayat chat dengan model AI, kode sumber, dan data sensitif melalui API. Laporan ini disampaikan oleh akun X @weezerOSINT pada Senin (20/4/2026).
"Saya membuat akun Lovable hari ini dan berhasil mengakses kode sumber proyek pengguna lain, kredensial database, riwayat chat AI, serta data pelanggan. Semua data tersebut dapat dibaca oleh akun gratis," tulis peneliti tersebut.
Bukti yang disertakan menunjukkan cuplikan kode proyek dan percakapan AI milik pengguna Lovable lainnya, serta tiket bug yang belum terselesaikan terkait kebocoran data tersebut. Laporan menyebutkan bahwa setiap proyek yang dibuat sebelum November 2025 terpengaruh.
AI Mempercepat Deteksi Kebocoran Data
Dalam wawancara dengan Fast Company, @weezerOSINT—yang tidak membagikan nama aslinya—menjelaskan bahwa penelitian ini hanya membutuhkan 30 menit menggunakan model xAI Grok 4.2. Tanpa bantuan AI, proses serupa bisa memakan waktu berjam-jam atau berhari-hari.
Peneliti melaporkan temuan ini melalui HackerOne pada awal Maret 2026. Namun, Lovable menutup tiket tersebut dengan alasan bahwa akses ke chat proyek publik dianggap sebagai perilaku yang disengaja.
Lovable Akui Kesalahan dalam Pengaturan Izin
Lovable awalnya membantah terjadinya pelanggaran data dan menyatakan bahwa kode proyek yang terekspos merupakan bagian dari pengaturan "publik". Perusahaan berargumen bahwa pengguna yang menandai proyek sebagai publik telah menyetujui kode tersebut dapat dilihat oleh pengguna lain.
Namun, klaim ini tidak mencakup eksposur chat dan prompt pengguna dengan model AI, yang sebelumnya dapat diakses melalui proyek publik. Lovable kemudian memperbarui pernyataannya:
"Kami menyadari bahwa pernyataan awal kami tidak sepenuhnya menjelaskan kesalahan yang terjadi. Dokumentasi mengenai apa yang dimaksud dengan 'publik' tidak jelas, dan itu merupakan kegagalan kami."
Perusahaan kemudian mengumumkan bahwa mereka telah memperbaiki API untuk mencegah akses ke chat proyek publik. Namun, pada Februari 2026, saat menyatukan izin backend, Lovable secara tidak sengaja mengaktifkan kembali akses ke chat tersebut.
Laporan Awal Dikira sebagai Perilaku Normal
Mengenai laporan awal melalui HackerOne, Lovable menyatakan bahwa tiket pelaporan telah ditutup karena mitra HackerOne menganggap akses ke chat proyek publik sebagai perilaku yang diharapkan. Sebagai platform vibe-coding, Lovable memang menganggap prompt bahasa alami untuk menghasilkan kode sebagai bagian inti dari pengalaman pengguna.
Perusahaan juga berencana untuk meningkatkan dokumentasi mengenai pengaturan izin proyek publik guna mencegah kebingungan serupa di masa depan.
Artikel terkait
Perusahaan Klaim Bisa Lacak Pengguna Starlink, Apakah Pemerintah Harus Waspada?
A handful of technology companies now claim that they can track and identify users of Starlink, the satellite internet communications service operated...
Halupedia: Ensiklopedia AI yang Menghadirkan Sejarah Fiktif dan Kontroversi
As the preeminent internet encyclopedia, Wikipedia is known for having articles on every topic under the sun. From the commonplace to the esoteric, if...
Rahasia Inovasi Perusahaan Terdepan Dunia yang Bisa Ditiru
In this era of AI-powered rapid change, what defines innovation at the world’s most cutting-edge companies? Fast Company’s executive editor, Amy Farle...
Bitwarden Hapus Nilai 'Selalu Gratis' dan 'Inklusi' dari Situsnya Usai Pergantian Pimpinan
Bitwarden, the maker of a popular free password manager and other security solutions, is quietly making changes. In February, longtime CEO Michael Cra...
AI Menghasilkan Konten Web Mencapai Puncaknya, Studi Temukan
Data: Graphite.io; Note: Based on an average of three AI-detector tools sampling URLs from Common Crawl; Chart: Megan Morrone/AxiosThe flood of AI-gen...
Martha Stewart Luncurkan Startup AI untuk Manajemen Rumah: Apa Dampaknya?
Martha Stewart just launched a new startup called Hint—an “always-on, AI-native home management platform” set to launch this summer. The venture was b...
Pemimpin Muda: Revolusi Gaya Kepemimpinan di Era Digital
Leadership is no longer linear. Among the founders I meet, there’s a clear shift: Younger entrepreneurs are starting earlier, building faster, and oft...
Pengacara Elon Musk Tuduh OpenAI Curang dalam Sidang Akbar
Attorneys for Elon Musk wrapped up their case against OpenAI on Thursday, asserting in closing arguments that they've proven the AI giant misused the...