vazamento de dados IA generativa segurança de dados Lovable API bug bounty

A plataforma de vibe-coding Lovable teve uma falha de segurança que expôs históricos de bate-papo de usuários com modelos de IA para terceiros que acessavam a plataforma por meio de sua API (Interface de Programação de Aplicativos). A descoberta foi feita pelo pesquisador @weezerOSINT, que publicou os detalhes em um post no X (antigo Twitter) na segunda-feira (20).

Segundo o pesquisador, ao criar uma conta gratuita, foi possível acessar o código-fonte de outro usuário, credenciais de banco de dados, históricos de bate-papo com IA e dados de clientes. A postagem incluía uma captura de tela de um projeto de outro usuário, com trechos de código e conversas, além de um chamado não resolvido sobre o bug que teria causado o vazamento.

«Criei uma conta na Lovable hoje e consegui acessar o código-fonte de outro usuário, credenciais de banco de dados, históricos de bate-papo com IA e dados de clientes. Tudo isso estava acessível por qualquer conta gratuita.»

@weezerOSINT em postagem no X

Investigação rápida com IA

Em entrevista à Fast Company, o pesquisador revelou que levou apenas 30 minutos para identificar a vulnerabilidade usando o modelo xAI Grok 4.2. Antes do uso de IA, segundo ele, uma investigação semelhante poderia levar horas ou dias.

Resposta da Lovable

A empresa inicialmente negou ter sofrido um vazamento de dados, afirmando que a exposição do código-fonte era um comportamento intencional. Segundo a Lovable, projetos marcados como públicos têm seu código visível para outros usuários.

No entanto, a empresa não esclareceu que os históricos de bate-papo e prompts com IA também estavam acessíveis em projetos públicos até recentemente. Em uma segunda postagem no X, a Lovable admitiu o erro e informou que corrigiu a API para bloquear o acesso a esses dados em projetos públicos.

«Também corrigimos retroativamente nossa API para que os bate-papos de projetos públicos não fossem mais acessíveis, independentemente das configurações. Infelizmente, em fevereiro, durante a unificação de permissões no backend, reativamos acidentalmente o acesso aos bate-papos em projetos públicos.»

— Lovable em postagem no X

Problema foi relatado em março, mas ignorado

O pesquisador havia reportado a vulnerabilidade à HackerOne no início de março. No entanto, a empresa fechou o chamado considerando que o acesso a bate-papos em projetos públicos fazia parte do comportamento intencional da plataforma.

Como plataforma de vibe-coding, a Lovable trata prompts em linguagem natural — usados para gerar código — como parte central de seus projetos. A empresa ainda não se pronunciou oficialmente sobre as implicações da falha para os usuários afetados.

Recomendações para usuários

  • Verifique se seus projetos estão públicos: Acesse as configurações e revise a visibilidade de seus projetos.
  • Revise permissões: Certifique-se de que dados sensíveis não estão sendo compartilhados inadequadamente.
  • Acompanhe atualizações: A Lovable prometeu melhorar a documentação sobre o que significa um projeto ser público.
Fonte: Fast Company
Bitcoin enfrenta vencimento de US$ 8 bilhões em opções com incertezas econômicas
← Anterior

Bitcoin enfrenta vencimento de US$ 8 bilhões em opções com incertezas...

 Peças de fibra de carbono da Alpha-N transformam BMW M2 F87 em um carro de pista
Próximo →

Peças de fibra de carbono da Alpha-N transformam BMW M2 F87 em um carr...