企業価値が66億ドル（約9900億円）とされるバイブコーディングプラットフォーム「Lovable」で、無料アカウントから他ユーザーのソースコードやデータベース認証情報、AIチャット履歴を閲覧できる可能性があるとの指摘が浮上した。英The Registerが20日（現地時間）に報じた。

指摘したのは、X（旧Twitter）で「@weezerOSINT」として活動する研究者。同氏は、無料アカウントを作成し、APIを5回呼び出すだけで他ユーザーのプロフィールや公開プロジェクト、ソースコードにアクセスでき、そこからデータベース認証情報も取得できたと主張している。

問題の原因として挙げたのが、オブジェクトレベルの認可不備（BOLA）だ。APIがアクセス権の確認を行わないまま、他ユーザーのデータを返していた可能性があるとしている。

研究者は、この問題を48日前に報告したものの、Lovable側に重複報告として扱われ、修正されなかったと説明。その後、バグバウンティサービスのHackerOneにも通報したとしている。

The Registerによると、Lovableの説明内容はその後変更されている。当初は「データ侵害はなかった」としたうえで、公開プロジェクトのチャットが閲覧できる状態について「意図した設計」だと説明していた。その後は「ドキュメントが不明確だった」と説明を修正。さらに、HackerOneが公開プロジェクトのチャット閲覧を仕様上の動作と判断し、報告をエスカレーションしなかったとの見解を示したという。

これに対しLovableは、その後公表した見解で経緯を説明した。2025年12月に全プランでデフォルト設定を非公開に変更したが、2026年2月のバックエンド側の権限統合作業の過程で、公開プロジェクトのチャットに再びアクセスできる状態になっていたとしている。

Lovableは、HackerOneのパートナーが公開プロジェクトのチャット閲覧を意図した動作と判断し、エスカレーションせずに報告を終了したと説明。問題を把握した直後に設定を差し戻し、すべての公開プロジェクトのチャットを再び非公開にしたと明らかにした。