Die KI-gestützte Entwicklungsplattform Lovable räumt ein Sicherheitsleck ein, das zwei Monate lang bestand. Zwischen Februar und April 2026 konnten authentifizierte Nutzer auf Chat-Verlauf und Quellcode öffentlicher Projekte anderer Entwickler zugreifen. Das Unternehmen hat die Schwachstelle behoben und zieht nun drastische Konsequenzen: Alle öffentlichen Projekte werden auf privat gesetzt, mit Ausnahme von Lovables eigenen Template-Vorlagen. Das Sicherheitsteam wird neu strukturiert und die Dokumentation überarbeitet.
Der Hintergrund des Problems liegt in Regressions-Fehlern bei der Backend-Entwicklung. Lovable hatte 2025 bewusst die Zugriffsmöglichkeiten auf öffentliche Projekte eingeschränkt – nachdem das Unternehmen mit Nutzer-Feedback registrierte, dass Transparenz nicht gewünscht war. Die Rückkehr zu offenen Zugriffen im Februar war also unbeabsichtigt. Besonders kritisch: Mehrere Sicherheitsforscher meldeten das Leck verantwortungsvoll über HackerOne, doch die Berichte wurden nicht weitergeleitet – wegen veralteter interner Dokumentation beim Triage-Team.
Für die junge Plattform, die erst im November 2024 startete, ist dies ein erheblicher Rückschlag. Lovable muss nun das Vertrauen seiner Community zurückgewinnen, indem es nicht nur technische, sondern auch organisatorische Änderungen durchsetzt. Die Entscheidung, öffentliche Projekte standardmäßig zu privatisieren, markiert das Ende eines Kernkonzepts der Plattform: der offenen Entdeckungskultur.