A startup sueca Lovable, avaliada em US$ 6,6 bilhões, deixou expostos o código-fonte, credenciais de banco de dados e históricos de chat de milhares de projetos criados na plataforma antes de novembro de 2025. O pesquisador de segurança Matt Palmer reportou a falha no dia 3 de março de 2026 via HackerOne. A empresa demorou 48 dias para resolver o problema de forma definitiva, expondo chaves de acesso a serviços do Google e do Stripe pertencentes a usuários que apenas queriam criar seus próprios aplicativos.

A ponte sem catraca: entendendo o vazamento

O erro técnico que causou isso tem nome: Broken Object-Level Authorization (BOLA). Na prática, imagine que você construiu uma ponte conectando sua casa a um cofre de banco, mas esqueceu de colocar uma porta ou um segurança para verificar quem está passando por ali. Qualquer usuário com uma conta gratuita na Lovable precisava enviar apenas cinco requisições de API para conseguir acessar dados alheios que deveriam ser restritos aos donos dos projetos.

Ferramentas como a Lovable popularizaram o chamado 'vibe coding', a prática de programar usando apenas linguagem natural e inteligência artificial, sem escrever linhas de código tradicionais. É uma ponte entre a ideia de um empreendedor e um produto em funcionamento. A plataforma facilita a criação visual do aplicativo, mas a facilidade camufla a complexidade de manter a arquitetura de dados segura por baixo dos panos.

Um estudo de maio de 2025 mostrou que, de 1.645 aplicativos construídos nessas plataformas visuais, 170 apresentavam vulnerabilidades graves e 70% sequer tinham regras de segurança de nível de linha (row-level security) ativadas. É um grau de exposição que lembra a fragilidade de projetos onde um único comando errado apaga meses de trabalho em produção. A automação extrema de código esconde as engrenagens e, consequentemente, os perigos.

O diálogo das plataformas e o preço das senhas coladas

Nós vivemos em uma rede de serviços interconectados. Um aplicativo raramente funciona sozinho. Ele troca informações com o Supabase para guardar cadastros, com o Stripe para processar pagamentos e com provedores de e-mail para enviar notificações. Quando um usuário sem conhecimento técnico cola as senhas reais desses serviços direto no chat da IA pedindo para 'fazer o app funcionar', essas credenciais ficam cravadas no histórico do projeto.

A Lovable inicialmente negou o vazamento. A empresa argumentou que a visibilidade pública dos chats era um comportamento intencional do sistema até o fim de 2025. O relatório de Matt Palmer chegou a ser fechado como 'duplicado' no HackerOne. Após a repercussão, a startup admitiu que uma falha de unificação de servidores em fevereiro de 2026 reativou acidentalmente os acessos públicos antigos. Isso nos obriga a fazer uma pergunta incômoda: até que ponto a democratização do desenvolvimento de software exime os criadores dessas ferramentas de projetar arquiteturas seguras por padrão?

Quando configuramos APIs, estamos estabelecendo canais diplomáticos de confiança entre diferentes empresas na internet. Se a embaixada principal deixa a porta aberta, todos os parceiros conectados sofrem as consequências. Já acompanhamos o impacto em cadeia que essas aberturas causam quando até infraestruturas criminosas complexas expõem suas falhas e sofrem invasões severas. Para um pequeno negócio criando seu primeiro app, o estrago nas contas do Stripe ou o roubo do banco de dados de clientes significa falência antes mesmo do lançamento.

O próximo passo

O primeiro passo prático para qualquer pessoa criando aplicativos com IA hoje é isolar as chaves de acesso. Nunca cole senhas de banco de dados ou tokens de pagamento diretamente nas caixas de diálogo. Utilize painéis específicos de variáveis de ambiente oferecidos pelas plataformas de hospedagem. A Lovable confirmou que forçou a privacidade em todos os projetos expostos na última segunda-feira, mas as senhas que vazaram nos 48 dias de exposição continuam ativas até que os próprios desenvolvedores façam a troca manual em seus respectivos provedores de serviço.