Una aplicación alojada en la plataforma Lovable, que utiliza inteligencia artificial para generar código (vibe-coding), expuso los datos de más de 18.000 usuarios, según denunció el investigador Taimur Khan. La aplicación, que permitía a usuarios crear y ver exámenes y calificaciones, tenía 16 vulnerabilidades, seis de ellas críticas, que permitían a un atacante acceder a información sensible como direcciones de correo electrónico, contraseñas y datos de estudiantes de universidades como UC Berkeley y UC Davis. El problema radica en la implementación defectuosa de la seguridad en la base de datos Supabase, utilizada por la plataforma Lovable, donde la lógica de acceso estaba invertida, bloqueando a usuarios autenticados y permitiendo el acceso a usuarios no autenticados.
Khan criticó a Lovable por no asumir la responsabilidad de la seguridad de las aplicaciones que aloja y por cerrar su reporte sin una respuesta adecuada. Lovable, por su parte, afirma que los usuarios son responsables de implementar las recomendaciones de seguridad y que la aplicación incluía código no generado por la plataforma. El incidente pone de relieve los riesgos de seguridad asociados con la generación de código por IA y la necesidad de una revisión humana exhaustiva para evitar vulnerabilidades, un problema que se ha manifestado en otras plataformas y herramientas de desarrollo basadas en IA.