AI-plattform Lovable lekket brukerdata og chat-historikk – hva skjedde?

Forsker avdekket alvorlig datalekkasje på Lovable

En anonym forsker, kjent under brukernavnet @weezerOSINT på plattformen X, oppdaget at vibe-coding-plattformen Lovable utilsiktet eksponerte brukeres chat-historikk med AI-modeller, kildekode og databaselegitimasjon for andre brukere via API-et. Oppdagelsen ble gjort mandag 20. april 2026.

Forskeren skrev i et innlegg på X:

«Jeg opprettet en Lovable-konto i dag og klarte å aksessere en annen brukers kildekode, databaselegitimasjon, AI-chat-historikk og kundeinformasjon – alt lesbart for enhver gratiskonto.»

Innlegget inkluderte også et skjermbilde av et annet brukers prosjektkode og samtaler, samt en uoppløst billett for feilen som angivelig forårsaket datalekkasjen. Lovable har tidligere hatt en større datainnbrudd som berørte alle prosjekter opprettet før november 2025.

AI-analyse tok bare 30 minutter

@weezerOSINT fortalte i en samtale med Fast Company at det tok bare 30 minutter å gjennomføre undersøkelsen ved hjelp av xAI’s Grok 4.2-modell. Uten AI ville en slik undersøkelse kunne tatt timer eller dager. Forskeren rapporterte problemet til HackerOne, en cybersikkerhetsplattform som håndterer sårbarhetsrapportering, allerede i begynnelsen av mars.

Lovable erkjenner feil – men forklarer seg

Lovable avviste først at det hadde skjedd et datainnbrudd og hevdet at eksponeringen av prosjektkode var «tiltenkt atferd». Selskapet forklarte at når brukere markerer prosjektene sine som «offentlige», velger de bevisst å gjøre koden synlig for andre brukere. Dette fremgikk imidlertid ikke tydelig i selskapets dokumentasjon.

Etter kritikk fra brukere og forskeren erkjente Lovable at de hadde gjort en feil: «Vi ble gjort oppmerksomme på bekymringer knyttet til synligheten av chat-meldinger og kode i offentlige Lovable-prosjekter. Vi hadde ikke et datainnbrudd, men vår dokumentasjon av hva «offentlig» innebærer var uklart – det er en feil fra vår side.»

Lovable presiserte imidlertid at dette ikke forklarte eksponeringen av brukeres samtaler med AI-modellen, som tidligere var tilgjengelige for offentlige prosjekter. I en oppfølgende uttalelse på X skrev selskapet:

«Vi har også retroaktivt patchet API-et slik at chat-samtaler i offentlige prosjekter ikke lenger kan aksesseres, uansett innstillinger. Dessverre aktiverte vi utilsiktet tilgangen til chat-samtaler i offentlige prosjekter igjen i februar, da vi samlet tillatelser i backend-systemet vårt.»

Lovable beklaget at den første uttalelsen ikke adresserte feilen på en tilfredsstillende måte og la ut en detaljert forklaring på hva som hadde skjedd.

HackerOne lukket rapporten som «tiltenkt atferd»

Selv om @weezerOSINT rapporterte problemet til HackerOne allerede i mars, ble saken avvist med begrunnelsen at «tilgang til chat-samtaler i offentlige prosjekter var tiltenkt atferd». For en vibe-coding-plattform er naturlig språk-beskrivelser som brukes til å generere kode en sentral del av utviklingsprosessen.

Lovable har nå rettet opp feilen, men tidligere prosjekter opprettet før november 2025 kan fortsatt være sårbare. Selskapet har ikke stilt med en representant for å kommentere saken utover sine offentlige uttalelser på X.

Hva betyr dette for brukere?

• Gamle prosjekter: Alle prosjekter opprettet før november 2025 kan fortsatt ha eksponert data. Lovable anbefaler brukere å gjennomgå gamle prosjekter og justere innstillingene.
• Offentlige prosjekter: Lovable har nå begrenset tilgangen til chat-samtaler i offentlige prosjekter, men brukere bør dobbeltsjekke innstillingene sine.
• Sikkerhetstiltak: Brukere oppfordres til å endre eventuelle eksponerte databaselegitimasjoner og gjennomgå tilgangsrettigheter.