The Register ngày 20/4 (giờ địa phương) đưa tin nền tảng vibe coding Lovable, hiện được định giá 6,6 tỷ USD, đang đối mặt tranh cãi sau cáo buộc tồn tại lỗ hổng bảo mật cho phép tài khoản miễn phí truy cập mã nguồn, thông tin xác thực cơ sở dữ liệu và lịch sử chat AI của người dùng khác.

Theo một nhà nghiên cứu hoạt động trên X với tài khoản @weezerOSINT, chỉ cần tạo tài khoản miễn phí và thực hiện 5 cuộc gọi API là có thể truy cập hồ sơ của người dùng khác, các dự án công khai cùng mã nguồn liên quan. Người này cho biết thậm chí có thể trích xuất thông tin xác thực cơ sở dữ liệu từ mã nguồn.

Nhà nghiên cứu nói lỗ hổng này thuộc nhóm lỗi phân quyền cấp đối tượng (BOLA), khiến API để lộ dữ liệu của người khác mà không kiểm tra quyền sở hữu. Người này cũng cho biết đã gửi báo cáo từ 48 ngày trước, nhưng Lovable xử lý theo diện “báo cáo trùng lặp” và không tiếp nhận. Sau đó, vụ việc tiếp tục được báo lên nền tảng săn lỗi HackerOne.

Theo The Register, cách giải thích từ phía Lovable đã nhiều lần thay đổi. Ban đầu, công ty khẳng định “không có vi phạm dữ liệu” và cho rằng việc để lộ nội dung chat của các dự án công khai là “thiết kế có chủ đích”. Sau đó, Lovable chuyển sang nói rằng tài liệu hướng dẫn chưa đủ rõ ràng.

Công ty tiếp tục cho biết HackerOne đánh giá việc xem nội dung chat của dự án công khai là hành vi nằm trong dự kiến, vì vậy báo cáo không được chuyển lên mức xử lý cao hơn. Điều này đồng nghĩa vấn đề không được phía HackerOne xem là sự cố bảo mật cần khắc phục khẩn cấp.

Trong tuyên bố chính thức sau đó, Lovable cho biết từ tháng 12/2025, công ty đã chuyển mặc định toàn bộ các gói sang chế độ riêng tư. Tuy nhiên, trong quá trình hợp nhất quyền truy cập ở backend vào tháng 2/2026, một sai sót đã khiến quyền xem chat của các dự án công khai vô tình được kích hoạt trở lại.

Lovable cho biết ngay sau khi phát hiện sự việc, công ty đã hoàn tác thay đổi này và đưa toàn bộ nội dung chat của các dự án công khai trở lại chế độ riêng tư.