IMPORTADO / SEGURANÇA

O LOVABLE É SEGURO? UMA ANÁLISE DE SEGURANÇA

O Lovable é seguro como plataforma. Apps construídos com Lovable não são seguros por padrão. O problema está em RLS, credenciais e validação de entrada — os mesmos três modos de falha em todos os projetos Lovable que analisamos.

O Lovable é seguro? A resposta curta

O Lovable como plataforma é seguro. Apps construídos com Lovable não são seguros por padrão. A plataforma roda em Supabase, força HTTPS e aplica patches na própria infraestrutura. Os apps gerados sobem com um conjunto previsível de falhas que o desenvolvedor normalmente não auditou — Row Level Security ausente, chaves de API expostas e checagens de dono faltando em rotas CRUD. Tudo corrigível, mas você precisa escanear antes.

Os modos de falha são consistentes em todos os apps Lovable que analisamos, o que na verdade é boa notícia: você confere a lista inteira numa única passada.

As três falhas que mais importam

1. Row Level Security ausente no Supabase

Todo app Lovable usa Supabase, e o Supabase expõe uma API REST pública para cada tabela. Sem Row Level Security (RLS) ativo e com políticas corretas, essa API dá acesso total de leitura e escrita ao banco para qualquer um que saiba a URL do Supabase — que sobe dentro do JavaScript do seu app.

O que está em risco: e-mails de usuários, hashes de senha, dados pessoais, registros de pagamento, mensagens privadas, anotações internas. Qualquer coisa armazenada numa tabela desprotegida pode ser lida ou modificada de forma anônima.

Por que isso continua acontecendo: a IA do Lovable cria tabelas novas conforme as features vão sendo adicionadas, mas não acrescenta políticas de RLS de forma consistente em cada tabela. Um app que começa seguro pode ficar vulnerável depois de uma única feature nova.

Como corrigir: habilite RLS em cada tabela no dashboard do Supabase e escreva políticas que batam com a sua lógica de autenticação. Veja o Supabase RLS Checker para validar cada tabela.

2. Chaves de API expostas no bundle do frontend

Apps Lovable frequentemente embutem chaves de API de serviços de terceiros (Stripe, OpenAI, SendGrid, ferramentas de analytics) diretamente no bundle JavaScript. Qualquer pessoa que abra o DevTools consegue ler. Bots de coleta automática de credenciais acham em questão de horas depois do deploy.

Como corrigir: mova todas as chaves que não foram feitas para uso no client — qualquer coisa além da anon key do Supabase, publishable key do Stripe, Google Maps key com restrições de referrer e similares — para trás de um proxy backend ou de uma Edge Function do Supabase. Use o Token Leak Checker para encontrar chaves expostas.

3. BOLA / IDOR em rotas CRUD geradas

Endpoints de recurso gerados por IA tipicamente filtram pelo ID, mas pulam a verificação de “esse usuário é dono desse ID?”. Isso significa que trocar o ID de um projeto na URL pode expor o projeto de outro usuário, dados bancários ou informações privadas. Esse é o padrão Broken Object-Level Authorization, e é a classe de bug mais danosa em apps Lovable em produção.

Como corrigir: cada endpoint que recebe um ID de recurso precisa verificar que o usuário autenticado é dono do recurso antes de retornar dados. No Supabase, isso geralmente aparece como uma política de RLS que checa auth.uid() = owner_id.

Problemas de segurança comuns em apps Lovable

Chaves de API expostas

Ferramentas de IA embutem chaves direto nos bundles de JavaScript. Elas ficam visíveis para qualquer um que inspecione o código-fonte e para bots em minutos após o deploy.

Políticas de RLS ausentes

Aplicações em Supabase são lançadas sem Row Level Security, permitindo leitura e escrita não autorizadas nos dados de usuários.

Checagem de dono ausente (BOLA)

Endpoints CRUD gerados filtram pelo ID, mas pulam a checagem de autorização que garante que o usuário é dono do recurso.

Validação de entrada insuficiente

Código gerado por IA frequentemente presume que a entrada é válida, abrindo a porta para SQL injection, XSS e ataques de prompt injection.

Cabeçalhos de segurança ausentes

Content-Security-Policy, Strict-Transport-Security, X-Frame-Options e Referrer-Policy geralmente não estão presentes em deploys gerados por IA.

Buckets de Storage públicos

Supabase Storage e buckets de terceiros frequentemente sobem com leitura anônima liberada, vazando uploads para o mundo todo.

Avaliação de segurança

O que o Lovable faz bem

  • Integração com Supabase traz Postgres gerenciado com defaults sólidos
  • Autenticação embutida com provedores OAuth
  • HTTPS automático em todo deploy
  • Patches regulares de segurança da plataforma
  • Modos de falha previsíveis tornam o scan barato

O que você precisa verificar por conta própria

  • Row Level Security em cada tabela (a maior alavanca)
  • Higiene de credenciais no bundle do frontend
  • Autorização em cada endpoint que aceita um ID de recurso
  • Validação de entrada em cada formulário e chamada de API
  • Cabeçalhos de segurança no app em produção

O veredito

O Lovable é seguro como plataforma de desenvolvimento. Apps construídos com Lovable precisam de uma revisão de segurança antes do deploy para produção. As três checagens que importam — RLS, credenciais, autorização — são mecânicas e escanáveis. Rode antes de cada lançamento, todo lançamento. Um lançamento viral com RLS ausente é um vazamento viral.

Recursos relacionados

Analise seu app Lovable

Rode o scanner gratuito do VibeEval na URL do seu app Lovable em produção. Resultados em menos de 60 segundos.

/ FAQ

COMMON QUESTIONS

01
O Lovable é seguro de usar?
O Lovable como plataforma é seguro — ele roda em Supabase, força HTTPS em todo deploy e aplica patches na própria infraestrutura. Apps construídos com Lovable são uma conversa diferente: a IA gera código funcional mas pula boas práticas de segurança, então a maioria dos apps Lovable sobe com Row Level Security ausente, chaves de API expostas ou falhas de autenticação, a não ser que o desenvolvedor audite antes do lançamento.
Q&A
02
Qual o problema de segurança mais comum em apps Lovable?
Row Level Security (RLS) ausente ou mal configurado em tabelas do Supabase. Todo app Lovable usa Supabase, que expõe uma API REST pública. Sem RLS, essa API dá acesso total de leitura e escrita ao banco para qualquer pessoa que conheça a URL do Supabase. A IA do Lovable cria tabelas novas conforme você adiciona funcionalidades, mas não adiciona políticas de RLS de forma consistente — então um projeto que começa seguro pode ficar vulnerável depois de uma única feature nova.
Q&A
03
Atacantes conseguem ver minhas credenciais do Supabase num app Lovable?
Sim — a URL do Supabase e a anon key sobem para o navegador por design. Isso sozinho não é a vulnerabilidade. A vulnerabilidade é subir a anon key para o browser sem ter RLS ativo em cada tabela, porque aí a anon key vira efetivamente uma chave de leitura e escrita para o banco inteiro.
Q&A
04
Como garantir a segurança de um app Lovable antes de lançar?
Três verificações, nessa ordem. Primeiro, habilite Row Level Security em cada tabela e escreva políticas alinhadas com sua lógica de autenticação. Segundo, escaneie o bundle do frontend em busca de qualquer chave que não seja a anon key do Supabase ou uma publishable key do Stripe. Terceiro, teste cada rota de API com o ID de outro usuário para pegar BOLA. O scanner do VibeEval roda as três em menos de 60 segundos.
Q&A
05
O Lovable faz revisão de segurança antes de fazer deploy?
Não. O Lovable faz deploy do código que ele gera, ponto. A plataforma fornece defaults seguros na infraestrutura (HTTPS, Supabase gerenciado), mas não audita o código gerado em busca de vulnerabilidades de lógica de negócio ou autenticação. Essa responsabilidade é do desenvolvedor.
Q&A
06
O que é BOLA e por que afeta apps Lovable?
BOLA (Broken Object-Level Authorization, autorização quebrada em nível de objeto) significa que um atacante pode trocar um ID na URL ou no corpo de uma requisição e ler ou modificar dados de outro usuário. Código CRUD gerado por IA frequentemente filtra os dados pelo ID, mas não verifica se o usuário da requisição é dono daquele ID. Apps Lovable são especialmente suscetíveis porque o gerador cria endpoints de recurso sem adicionar checagens de dono de forma consistente.
Q&A
07
Apps Lovable são piores que apps escritos à mão?
Não são piores, falham de forma diferente. Código escrito à mão costuma ter segurança inconsistente — alguns endpoints protegidos, outros esquecidos. Código gerado por Lovable tem padrões consistentes: normalmente vai faltar RLS em tabelas novas, normalmente vai pular checagem de dono em CRUD, normalmente vai subir a anon key do Supabase para o browser. A consistência é boa notícia — os modos de falha são previsíveis e escanáveis.
Q&A
/ NEXT STEP

ANALISE SEU APP LOVABLE

Teste de 14 dias. Sem cartão. Resultados em menos de 60 segundos.

INICIAR SCAN GRATUITO