Una grave vulnerabilidad de autorización en la plataforma Lovable, un popular constructor de aplicaciones impulsado por inteligencia artificial, ha permitido a usuarios no autorizados acceder a datos sensibles de numerosos proyectos. Según informes, este fallo crítica, catalogado como Broken Object Level Authorization, afecta a todos los proyectos creados antes de noviembre de 2025, exponiendo información confidencial que incluye código fuente, credenciales de bases de datos y registros de interacción de clientes.
Cambia ya tus claves
Esta vulnerabilidad se presenta cuando un API otorga acceso a objetos sin verificar si el usuario solicitante posee realmente la autorización para visualizarlos. Investigaciones recientes han revelado que los usuarios con cuentas gratuitas pueden realizar llamadas API no autenticadas a la plataforma y recuperar datos de proyectos ajenos. Entre la información expuesta se han encontrado credenciales de bases de datos y datos de clientes, vinculando a organizaciones como Connected Women in AI y Accenture, así como a empleados de Nvidia y Microsoft.
El problema fue reportado a Lovable a través de HackerOne aproximadamente 48 días antes de su divulgación pública el 3 de marzo de 2026, pero todavía no se ha implementado un parche para los proyectos más antiguos. Aunque la plataforma ha aplicado correcciones para proyectos nuevos, el riesgo para las aplicaciones existentes sigue siendo crítico, dejando a muchos usuarios vulnerables.
Los expertos advierten a los usuarios de proyectos antiguos que deberían cambiar urgentemente sus claves API y credenciales, asumiendo que su información ya podría haber sido comprometida. Esta situación subraya un desafío recurrente en las plataformas de desarrollo nativas de IA: las medidas de seguridad a menudo son insuficientes en comparación con el rápido despliegue de nuevas funciones, lo que deja a los primeros adoptantes de estas tecnologías en una posición peligrosa.