AI-ontwikkelplatform Lovable ligt onder vuur na meldingen van een kwetsbaarheid waardoor gebruikers toegang konden krijgen tot gevoelige gegevens van anderen. 

Een beveiligingsonderzoeker stelt dat het probleem het mogelijk maakte om via een gratis account onder meer broncode, inloggegevens en chatgeschiedenis van andere projecten te bekijken, meldt The Register.

Volgens de onderzoeker, actief op X onder de naam @weezerOSINT, was er geen geavanceerde aanval nodig om toegang te krijgen tot deze informatie. Met een beperkt aantal API-verzoeken zou al inzicht verkregen kunnen worden in data van andere gebruikers. Het lek zou voortkomen uit een zogeheten Broken Object Level Authorization-kwetsbaarheid, waarbij onvoldoende wordt gecontroleerd of een gebruiker wel rechten heeft om bepaalde gegevens op te vragen.

Lovable reageerde aanvankelijk terughoudend op de bevindingen. Het bedrijf stelde dat er geen sprake was van een datalek. De onderneming gaf aan dat de zichtbaarheid van gegevens samenhing met instellingen voor openbare projecten. En dat onduidelijkheid in de documentatie mogelijk tot misverstanden had geleid. Later volgde een meer uitgebreide toelichting waarin het bedrijf erkende dat eerdere communicatie tekortschietend was.

In die tweede reactie beschreef Lovable hoe het onderscheid tussen openbare en privéprojecten in de praktijk voor verwarring zorgde. Gebruikers zouden ervan uit zijn gegaan dat alleen gepubliceerde applicaties zichtbaar waren, terwijl ook onderliggende chatgegevens toegankelijk konden zijn. Het bedrijf gaf aan dat deze interpretatie begrijpelijk is en dat het ontwerp van het systeem daarin onvoldoende duidelijkheid bood.

Late actie na hernieuwde aandacht

De kwetsbaarheid was eerder gemeld via bug bounty-platform HackerOne, maar werd daar volgens Lovable niet geëscaleerd omdat de zichtbaarheid van bepaalde gegevens werd gezien als beoogd gedrag. Pas nadat de kwestie opnieuw onder de aandacht kwam, werd de toegang tot chatgegevens van openbare projecten opnieuw afgesloten.

Lovable stelt dat het probleem inmiddels is verholpen en dat chatgegevens van projecten niet langer toegankelijk zijn voor andere gebruikers. Ook benadrukt het bedrijf dat gebruikers altijd de mogelijkheid hadden om projecten op privé te zetten, al was die optie in het verleden niet voor alle gebruikers beschikbaar.

Het incident onderstreept de groeiende zorgen rond beveiliging bij AI-platforms, zeker nu deze steeds vaker worden ingezet binnen bedrijfsomgevingen. Organisaties als Uber en Deutsche Telekom maken volgens eerdere aankondigingen gebruik van de technologie van Lovable. Daarmee krijgt een kwetsbaarheid als deze potentieel een bredere impact dan alleen individuele gebruikers.