Lovable er en vibe-coding-plattform som genererer full-stack-applikasjoner i React, Tailwind og Supabase fra naturlig språk. The Next Web skriver at en sikkerhetsforsker 20. april publiserte funnet: en broken object-level authorisation-feil (BOLA) som lot hvem som helst med en gratis Lovable-konto hente en annen brukers profil, offentlige prosjekter, kildekode og database-credentials. Forskeren rapporterte feilen til Lovables bug bounty-program 3. mars. Selskapet fikset den for nye prosjekter, men aldri for eksisterende, markerte oppfølgingsrapporten som duplikat, og lukket saken. Da saken ble publisert, hadde sårbarheten stått åpen i 48 dager.
Kildekode trukket ut via API-et inneholdt hardkodede Supabase-credentials embedded i koden. Ett av de eksponerte prosjektene tilhørte Connected Women in AI, en dansk nonprofit. Datasettet inneholdt ekte brukerposter — navn, jobbtitler, LinkedIn-profiler og Stripe kunde-ID-er — knyttet til personer hos blant annet Accenture Danmark og Copenhagen Business School. Ansatte hos Nvidia, Microsoft, Uber og Spotify skal ha Lovable-kontoer tilknyttet berørte prosjekter.
«Lovable did not suffer a data breach. The exposed data is intentional behaviour.» — Lovables opprinnelige respons på X, senere delvis trukket tilbake
Selskapets reaksjonsmønster er like interessant som selve sårbarheten. Først benektet de at det var brudd. Så skyldte de på sin egen dokumentasjon og sa at det «var uklart hva public innebærer». Så skyldte de på HackerOne og sa at rapportene ble lukket fordi bug bounty-partneren trodde adferden var tilsiktet. Senere samme dag kom en delvis unnskyldning.
Mønsteret er strukturelt
Dette er det tredje dokumenterte sikkerhetsavviket hos Lovable. I februar fant en tech-entreprenør ved navn Taimur Khan 16 sårbarheter — seks av dem kritiske — i en enkelt app featured på Lovables Discover-side med over 100 000 visninger. Den alvorligste var en invertert autentiseringslogikk som ga anonyme brukere full tilgang mens den blokkerte innloggede brukere. Appen, et KI-drevet EdTech-verktøy, eksponerte 18 697 brukerposter, inkludert 4 538 studentkontoer fra blant annet UC Berkeley og UC Davis.
Dataene på tvers av vibe-coding-kategorien er konsistente. Mellom 40 og 62 prosent av KI-generert kode inneholder sikkerhetssårbarheter. I første kvartal 2026 fant en analyse av over 200 vibe-kodede applikasjoner at 91,5 prosent hadde minst én sårbarhet sporbar til KI-hallusinasjon. Bolt.new leveres med row-level security av som standard. Cursor har fått flere CVE-er patchet, inkludert en case-sensitivity-bypass som ga vedvarende remote code execution.
«Den virkelige risikoen ved vibe-coding er ikke at KI skriver usikker kode. Det er at mennesker shipper kode de aldri fikk sjansen til å sikre.» — Trend Micro, sitert i TNWs rapport
Hva bør du gjøre?
- Revider Lovable-prosjekter opprettet før november 2025: Bytt alle Supabase-credentials, API-nøkler og tokens som ligger i kildekoden. Anta at de er eksponert til offentligheten inntil du har rotert dem.
- Skru på row-level security eksplisitt: Rundt 70 prosent av Lovable-apper har RLS avskrudd ifølge en studie fra mai 2025. Gå gjennom hver eneste tabell i Supabase-dashbordet og aktiver RLS med policy-regler, ikke bare for nye prosjekter, men for alle.
- Unngå hardkodede secrets i vibe-kodet output: Flytt alle nøkler til miljøvariabler og sørg for at KI-generert kode ikke lekker dem til frontend-bundles. Kjør en hemmelighetsskanner som GitGuardian eller TruffleHog over repo-et før deploy.
Bakgrunn
Lovable hentet 330 millioner dollar til 6,6 milliarder dollars verdsettelse i desember, mer enn tredoblet på fem måneder. Gartner estimerer at 60 prosent av all ny kode vil være KI-generert innen slutten av 2026. For deg som bygger med vibe-coding-verktøy, er konklusjonen ganske konkret: den økonomiske insentivstrukturen hos plattformene belønner vekst og tilgjengelighet. Sikkerhet er en kostnadspost som bremser begge. Hvis du bruker disse verktøyene i produksjon, må sikkerhetsgjennomgangen være ditt ansvar, ikke plattformens.