Startup de “vibe coding” apresenta riscos de segurança, segundo relatório

A Lovable oferece um serviço de criação de de sites e aplicativos por meio de comandos em linguagem natural, sem a necessidade de conhecimento técnico — uma prática conhecida como “vibe coding”.

Um relatório elaborado por um funcionário da Replit e enviado à National Vulnerabilities Database analisou cerca de 1.600 aplicativos listados no próprio site da Lovable. Dentre esses, 170 permitiam acesso público a informações sensíveis de usuários, incluindo nomes, e-mails, dados financeiros e chaves de API.

Em abril, um engenheiro de software afirmou ter conseguido invadir diversos sites exibidos na página de recomendações da Lovable. Em apenas 47 minutos, ele teria encontrado informações confidenciais como endereços residenciais e dados sobre dívidas pessoais.

A Lovable não oferece um sistema próprio de banco de dados; os aplicativos criados com seu serviço são integrados ao Supabase. Após os incidentes, a empresa anunciou uma nova funcionalidade de verificação automática de segurança antes da publicação dos aplicativos. No entanto, segundo o relatório da Replit, essa verificação se limita a checar se os controles de acesso do Supabase estão ativados — sem avaliar se estão corretamente configurados, algo que pode ser desafiador até mesmo para desenvolvedores experientes.

A empresa foi criticada por afirmar que os sites criados com sua ferramenta são “basicamente garantidos como seguros”, ao mesmo tempo em que recomenda uma “revisão de segurança humana” no banco de dados, reconhecendo, indiretamente, o risco de exposição de dados caso o Supabase não seja bem configurado. Críticos apontam que, dessa forma, a Lovable estaria transferindo a responsabilidade de segurança para os usuários.

Recomenda-se cautela ao utilizar plataformas de “vibe coding”, especialmente em projetos que lidam com dados sensíveis.