LOVABLE-SICHERHEITSBERICHT — FEB 2026: 18.000 EXPONIERTE NUTZER, 170+ KOMPROMITTIERTE DATENBANKEN

18.697

Exponierte Nutzerdatensätze in einer einzelnen App

170+

Vollständig exponierte Datenbanken unter 1.645 gescannten

90%

Der auditierten Apps teilen dieselben 5 Schwachstellen

52/100

Durchschnittlicher Security-Score über 200+ Seiten

Ist deine Lovable-App verwundbar?

Gib die URL deiner produktiven Lovable-App ein, um die in diesem Bericht beschriebenen Schwachstellen zu prüfen

Der Showcased-App-Leak: 18.000+ exponierte Nutzer

Der größte Lovable-Security-Vorfall im Februar 2026 kam von einem Forscher, der eine von Lovable selbst vorgestellte EdTech-App testete — einer der Success-Cases auf der Lovable-Website, mit 100K+ Aufrufen und echten Nutzern aus UC Berkeley, UC Davis sowie Institutionen in Europa, Afrika und Asien.

Innerhalb weniger Stunden fand der Forscher 16 Security-Schwachstellen, 6 davon kritisch. Die Auth-Logik war buchstäblich invertiert — sie blockierte eingeloggte Nutzer und ließ Anonyme durch. Der Post wurde auf r/hacking (1.200+ Upvotes), r/cybersecurity (1.080+ Upvotes), r/ClaudeAI (1.000+ Upvotes) und r/lovable crossgepostet.

Was offengelegt wurde

• 18.697 Nutzerdatensätze (Namen, E-Mails, Rollen) — ohne Authentifizierung
• Account-Löschung per einzelnem API-Call — ohne Authentifizierung
• Noten von Schülern, für jeden änderbar — ohne Authentifizierung
• Massen-E-Mail-Versand — ohne Authentifizierung
• Enterprise-Organisationsdaten von 14 Institutionen

Der Forscher meldete die Findings an Lovable. Zunächst wurde das Support-Ticket geschlossen. Nachdem die Reddit-Posts Traktion bekamen, meldete sich das Lovable-Security-Team, erhielt den vollen Bericht und begann mit der Untersuchung. Der Entwickler, der die App gebaut hatte, erkannte die Probleme an und fixte die kritischsten Schwachstellen.

Quelle: r/hacking, r/cybersecurity, r/ClaudeAI, r/lovable — Februar 2026. Kombiniert 3.400+ Upvotes.

Offener Brief: „Du kannst nicht an der Sicherheit der Nutzer vorbei vibecoden"

Ein Entwickler mit über 20 Jahren Erfahrung postete einen offenen Brief auf r/lovable (620+ Upvotes, 127 Kommentare) und warnte die Vibe-Coding-Community vor systemischen Security-Problemen. Der Post wurde auf r/vibecoding (695+ Upvotes, 210 Kommentare) und r/SideProject (180+ Upvotes) crossgepostet.

Der Entwickler hatte auf Reddit geteilte Vibe-coded-Apps getestet und zutiefst beunruhigende Muster gefunden:

• Öffentliche Supabase-Endpoints mit vollständigen Nutzerlisten — Datenbanken, die jeder mit einem Browser abfragen kann
• Auto-Upgrade auf Premium — Nutzer konnten is_paid, is_subscribed ändern oder sich 99.999 Credits geben
• Datenmanipulation — offene PUT/PATCH-Endpoints, die das Löschen oder Ändern fremder Daten erlaubten
• Kein Spezialwerkzeug nötig — nur Browser, DevTools und ein paar Klicks

Quelle: r/lovable, r/vibecoding, r/SideProject — 1.500+ Upvotes kombiniert.

Folgeuntersuchung: „Es ist schlimmer, als ich dachte"

Derselbe Entwickler kam zurück, nachdem er Apps von Lovables eigener launched.lovable.dev-Seite getestet hatte. Die Findings waren konsistent: Viele der vorgestellten Apps litten unter genau denselben Schwachstellen.

Kernbefund: „Ich habe keine Probleme in Bolt-, Replit- oder Cursor-/Cline-basierten Apps gefunden" — die Schwachstellen konzentrierten sich auf Lovable-+-Supabase-Anwendungen, speziell auf falsch konfigurierte RLS-Policies.

Der Entwickler kontaktierte Lovable direkt, um zu fragen, welche Schritte unternommen werden, um zu verhindern, dass Entwickler über die Plattform versehentlich unsichere Apps launchen.

Quelle: r/lovable — 124 Upvotes, 58 Kommentare.

170+ exponierte Datenbanken: die Größenordnung des Problems

Ein separater Post auf r/vibecoding (85 Upvotes, 44 Kommentare) enthüllte das Ergebnis eines Large-Scale-Scans: Im Mai 2025 scannten Security-Forscher 1.645 Lovable-Apps. Über 170 hatten vollständig exponierte Datenbanken ohne aktiviertes RLS. Die offengelegten Daten umfassten Wohnadressen, Finanzdaten, API-Keys und Zahlungsdaten. Ein Leak betraf 13.000 Nutzer.

Die zentrale Verwirrung: Authentifizierung vs. Autorisierung

Der Post erklärte die Kernursache, die die meisten Lovable-Entwickler verwirrt:

• Authentifizierung = beweisen, wer du bist (Login)
• Autorisierung = worauf du zugreifen kannst (RLS)

Per Default exponiert Supabase alle Tabellen über API. Der anon_key ist öffentlich — er liegt in deinem Frontend-Code. Das EINZIGE, was unbefugten Zugriff verhindert, ist Row-Level-Security. Wenn RLS nicht aktiv ist, ist deine DB eine öffentliche API.

Quelle: r/vibecoding — 85 Upvotes, 44 Kommentare.

200+ Vibe-coded-Seiten gescannt: Durchschnitt 52/100

Ein Web-Entwickler scannte über 200 Seiten, die mit Cursor, Bolt, Lovable, v0 und anderen KI-Tools gebaut wurden. Der durchschnittliche Security-Score war 52 von 100. Die Muster waren immer dieselben:

• API-Keys und Secrets im Quellcode hardcodiert
• Keine Security-Header (CSP, HSTS, X-Frame-Options)
• Cookies ohne Secure- oder HttpOnly-Flags
• Server-Versionen und Debug-Info in Produktion offengelegt
• Dependencies mit bekannten Schwachstellen, die nie ein Update bekommen

Wie der Entwickler es zusammenfasste: „Die KI macht, was du sie bittest. Nur denkt sie nie an das, worum du nicht gebeten hast."

Quelle: r/VibeCodeDevs — 161 Upvotes, 68 Kommentare.

50 manuell auditierte Apps: dieselben 5 Fehler

Ein Security-Forscher, der 50 mit Cursor, Lovable, Bolt und v0 gebaute Apps manuell auditierte, postete seine Findings auf r/lovable (32 Upvotes, 13 Kommentare). In praktisch jeder App tauchten dieselben Probleme auf:

1. Hardcodierte API-Keys

OpenAI-, Stripe-, Firebase-API-Keys direkt in JavaScript-Dateien, sichtbar in DevTools. Angreifer können Keys stehlen und Tausende an Kosten anhäufen.

2. Fehlende RLS-Policies

Supabase-Tabellen mit deaktiviertem RLS, wodurch alle Nutzerdaten für jeden mit dem öffentlichen Anon-Key abfragbar sind.

3. Fehlende Eingabevalidierung

Keine Request-Validierung am Server, was direkte Datenmanipulation per API-Call erlaubt.

4. Kaputte Authentifizierung

Auth-Logik, die in Demos „funktioniert", in Produktion aber unbefugten Zugriff erlaubt. Check-Middleware beim Refactoring entfernt.

5. Daten-Leak in der Konsole

Vollständige Datenobjekte, Nutzer-IDs, interne API-Responses werden bei jedem Seiten-Load in die Browser-Konsole gekippt.

Bonus: Premium-Bypass

Nutzer konnten sich selbst auf den Bezahlplan hochstufen, indem sie den Frontend-State oder Zeilen in Supabase modifizierten — ohne Server-Zahlungsprüfung.

Quellen: r/lovable, r/vibecoding, r/VibeCodeDevs, r/replit, r/boltnewbuilders.

Community-Reaktion und Tools

Die Reddit-Community reagierte auf die Lovable-Security-Krise mit mehreren Initiativen:

• Security-Mega-Prompts: Nutzer von r/lovable teilten Prompts, damit Lovable während der Codegenerierung OWASP-ASVS-Kontrollen, Eingabevalidierung, CSRF-Schutz und Rate-Limiting anwendet (85 Upvotes)
• Supabase-RLS-Patterns: mehrere Posts teilen kopierbare RLS-Policy-Templates speziell für Lovable-+-Supabase-Apps
• Security-Scanner: mehrere Entwickler bauten Scan-Tools speziell für Lovable-/Vibe-coded-Apps, inklusive Tools, die Auto-Fix-Prompts erzeugen
• Bug-Bounties: ein Lovable-Entwickler bot 1.500 $ pro Schwachstelle in seiner Live-App (r/lovable, 204 Upvotes)
• Audit-Services: ein wachsender Markt menschlicher Auditoren, die Security-Reviews speziell für Vibe-coded-Apps anbieten

Echter Impact: 47 Schwachstellen vor dem PCI-Audit

Ein Fintech-Startup postete auf r/vibeward, dass 47 Security-Schwachstellen in KI-generiertem Code gefunden wurden, nur 3 Wochen vor dem PCI-DSS-Compliance-Audit. Davon waren 12 kritische PCI-Blocker und 23 von hoher Schwere. Das Team nutzte GitHub Copilot intensiv, und der in den vorangegangenen 6 Monaten geschriebene Code enthielt die meisten Probleme.

Das Muster ist klar: KI-generierter Code kommt schnell raus, überspringt aber Security-Basics. Der Konsens der r/vibecoding-Community (195 Upvotes, 139 Kommentare) lautet: „Wenn du Vibe-coded-Produkte mit irgendeinem Backend an die Öffentlichkeit bringst, ohne dass echte Menschen die Security auditieren, bist du massiv verantwortungslos."

Was Lovable-Entwickler jetzt tun sollten

Basierend auf den Community-Findings ist dies die Minimum-Security-Checkliste für jede Lovable-App, bevor sie in Produktion geht:

1. 1. Aktiviere RLS auf jeder Tabelle. Gehe zu Supabase Authentication → Policies. Wenn du „RLS disabled" auf einer Tabelle mit Nutzerdaten siehst, bist du jetzt gerade exponiert.
2. 2. Schreibe explizite Policies für SELECT, INSERT, UPDATE, DELETE. Aktiviertes RLS ohne Policies blockiert alle, inklusive der App selbst. Füge Policies hinzu, die auth.uid() = user_id prüfen.
3. 3. Entferne alle hardcodierten Secrets aus dem Frontend-Code. Verschiebe API-Keys in Umgebungsvariablen und proxy sensible Aufrufe über Server-Side-Funktionen.
4. 4. Nutze den service_role-Key nie im Frontend-Code. Er ignoriert jegliches RLS. Jeder kann ihn aus dem JavaScript-Bundle extrahieren.
5. 5. Ergänze serverseitige Zahlungsprüfung. Verlass dich nicht auf Frontend-State für Premium-/Bezahlstatus. Prüfe beim Zahlungsanbieter im Backend.
6. 6. Entferne console.log. Vollständige Datenobjekte in der Browser-Konsole sind für jeden Nutzer sichtbar.
7. 7. Führe vor jedem Deploy einen Security-Scan durch. Automatisierte Scans finden Probleme, die manuelle Reviews übersehen.

Verwandte Ressourcen

Lovable Security Scanner

Führe einen vollständigen Security-Scan auf deiner Lovable-App durch.

Ist Lovable sicher?

Ausführliche Security-Analyse der Lovable-Plattform.

Lovable absichern

Schritt-für-Schritt-Security-Guide für Lovable-Apps.

Dieser Bericht wurde aus öffentlichen Reddit-Diskussionen zusammengestellt. Alle zitierten Daten stammen aus Community-Posts mit den Original-Upvote-Zahlen. VibeEval hat keine Verbindung zu Lovable oder Supabase. Fragen? Kontaktiere unser Team.