Uma vulnerabilidade crítica de Autorização de Nível de Objeto Quebrado (BOLA) na plataforma Lovable, o popular construtor de aplicativos impulsionado por IA, está permitindo que usuários não autorizados acessem dados sensíveis de projetos, incluindo código-fonte, credenciais de banco de dados, históricos de chat de IA e informações reais de clientes de milhares de projetos criados antes de novembro de 2025.
Entendendo a vulnerabilidade BOLA
A falha, classificada como um problema de Autorização de Nível de Objeto Quebrado, permite que qualquer titular de conta de nível gratuito do Lovable faça chamadas de API não autenticadas ao back-end da plataforma e recupere dados de projetos pertencentes a outros usuários. Vulnerabilidades BOLA ocorrem quando uma API concede acesso a objetos sem verificar se o usuário solicitante realmente possui ou tem permissão para vê-los.
Esta classe de falha é classificada como #1 no OWASP API Security Top 10 por sua prevalência e facilidade de exploração. De acordo com um pesquisador com o apelido @weezerOSINT, o endpoint de API https://api.lovable.dev/GetProjectMessagesOutputBody parece retornar históricos completos de mensagens de projeto, logs de pensamento de IA e registros de uso de ferramentas sem impor controles de acesso adequados ao nível de objeto.
Impacto e escopo do vazamento
As respostas JSON expostas contêm IDs de usuário, conteúdo de sessão e cadeias de raciocínio de IA interna que nunca foram destinadas a serem publicamente acessíveis. A vulnerabilidade foi relatada ao Lovable via HackerOne aproximadamente 48 dias antes da divulgação pública, mas a falha permanece sem correção para projetos criados antes de novembro de 2025.
Embora o Lovable pareça ter aplicado uma correção para projetos recém-criados, a base de projetos legados permanece exposta, deixando uma janela de risco significativa para usuários que construíram aplicativos na plataforma antes da data de corte. Pesquisadores que examinaram a vulnerabilidade descobriram exemplos particularmente alarmantes.
Um projeto afetado pertencia à Connected Women in AI, uma organização sem fins lucrativos, e continha credenciais de banco de dados Supabase expostas junto com dados reais de usuários. Entre os dados encontrados estavam registros vinculados a indivíduos da Accenture Denmark e Copenhagen Business School. Além da exposição sem fins lucrativos, funcionários de grandes empresas de tecnologia, incluindo Nvidia, Microsoft, Uber e Spotify, relataram ter contas Lovable vinculadas a projetos afetados.
Recomendações de segurança
Pesquisadores de segurança recomendam que usuários do Lovable que criaram projetos antes de novembro de 2025 devem imediatamente rotacionar qualquer chave de API, credenciais de banco de dados ou segredos armazenados nesses projetos. Os usuários devem assumir que históricos de chat e código-fonte associados a projetos mais antigos podem já ter sido acessados.
O incidente destaca um desafio recorrente em plataformas de desenvolvimento nativas de IA: os controles de segurança muitas vezes ficam atrás da implantação rápida de recursos, deixando os primeiros adotadores mais expostos. Organizações construindo aplicações de produção em construtores de IA de baixo código devem aplicar práticas de gerenciamento de segredos independentes da plataforma e auditar regularmente a exposição de API para quaisquer credenciais sensíveis incorporadas em repositórios de projeto ou contextos de chat.