Критический баг в Lovable открывал доступ к чужим проектам и базам данных через бесплатный аккаунт

Платформа Lovable, позиционирующая себя как инструмент для vibe-кодинга с использованием ИИ, оказалась под огнём критики после того, как исследователь безопасности обнаружил серьёзную уязвимость. С помощью обычного бесплатного аккаунта можно было получить несанкционированный доступ к данным других пользователей — включая исходный код проектов, учётные данные от баз данных, истории чатов с искусственным интеллектом и конфиденциальную клиентскую информацию. Уязвимость затрагивала ключевой принцип изоляции пользовательских данных, что делает инцидент особенно значимым для сообщества разработчиков, доверяющих платформе свои коммерческие проекты.

Исследователь, выявивший проблему, воспользовался для её обнаружения платформой HackerOne в рамках программы поиска уязвимостей. По его данным, вектор атаки был относительно простым и не требовал сложной эксплуатации — достаточно было стандартной регистрации на платформе. Это ставит под сомнение базовые архитектурные решения Lovable в области аутентификации и разграничения прав доступа. История чатов с ИИ, хранящихся на платформе, могли содержать敏感 данные и проприетарную логику приложений, создаваемых пользователями.

Однако реакция компании на сообщение об уязвимости вызвала дополнительные вопросы. Lovable отказалась признавать инцидент утечкой данных, назвав обнаруженное поведение «ожидаемым». При этом представители платформы переложили ответственность на саму платформу HackerOne, заявив, что исследователь действовал за пределами согласованных рамок программы поиска багов. Такая позиция усилила давление на компанию со стороны сообщества безопасности и поставила под сомнение её готовность к транспарентному диалогу об уязвимостях.