Piattaforma Lovable: dati sensibili degli utenti esposti tramite API

Esposizione di dati sensibili tramite API

Un ricercatore di sicurezza, noto su X come @weezerOSINT, ha rivelato che la piattaforma Lovable, specializzata in vibe-coding, esponeva le chat degli utenti con i modelli AI ad altri utenti che accedevano tramite API. La scoperta è stata pubblicata su X il 20 aprile 2026, accompagnata da una schermata che mostrava il codice sorgente di un progetto, le chat con l'AI e i dati di accesso a database di un altro utente.

Nella sua segnalazione, il ricercatore ha affermato di aver ottenuto l'accesso a questi dati in soli 30 minuti utilizzando il modello xAI Grok 4.2. Prima dell'avvento dell'IA, simili ricerche avrebbero richiesto ore o giorni di lavoro manuale.

Dichiarazioni contrastanti di Lovable

Inizialmente, Lovable ha negato l'esistenza di una violazione dei dati, sostenendo che la visibilità del codice fosse un comportamento intenzionale. Secondo la società, i progetti contrassegnati come pubblici erano progettati per essere accessibili ad altri utenti. Tuttavia, questa spiegazione non teneva conto dell'esposizione delle chat e dei prompt degli utenti con i modelli AI, accessibili fino a poco tempo fa.

Solo dopo la segnalazione pubblica, Lovable ha corretto il problema. In un secondo post su X, l'azienda ha ammesso un errore nei permessi di backend: «Abbiamo applicato una patch retroattiva all'API per impedire l'accesso alle chat dei progetti pubblici, indipendentemente dalle impostazioni». Tuttavia, ha aggiunto che nel febbraio 2025, durante un aggiornamento dei permessi, l'accesso alle chat era stato accidentalmente riabilitato.

Segnalazione ignorata per settimane

Il ricercatore aveva segnalato il problema a HackerOne già a marzo 2025, ma il ticket era stato chiuso perché considerato un comportamento previsto. Lovable ha dichiarato che i suoi partner di HackerOne avevano ritenuto l'accesso alle chat dei progetti pubblici come una funzionalità intenzionale.

Come piattaforma di vibe-coding, Lovable tratta i prompt in linguaggio naturale utilizzati per generare codice come parte integrante dei progetti. Tuttavia, l'esposizione involontaria di questi dati sensibili ha sollevato preoccupazioni sulla sicurezza e sulla gestione dei dati degli utenti.

Le conseguenze e le misure adottate

Dopo la segnalazione pubblica, Lovable ha rivisto la propria documentazione per chiarire cosa implica la visibilità pubblica di un progetto. L'azienda ha riconosciuto un fallimento nella comunicazione e ha promesso di migliorare la trasparenza nei confronti degli utenti.

Nonostante le correzioni apportate, la vicenda solleva interrogativi sulla sicurezza delle piattaforme che utilizzano l'IA per generare codice e sulla gestione dei dati sensibili degli utenti. Gli esperti di cybersecurity sottolineano l'importanza di una valutazione continua dei rischi e di una comunicazione tempestiva in caso di violazioni.

«Ci scusiamo per non aver affrontato correttamente il problema nella nostra prima dichiarazione. Ecco cosa significa un progetto pubblico su Lovable e come siamo arrivati a questa situazione.»