Die schwedische KI-Coding-Startup-Lovable stand in den Fokus sicherheitskritischer Diskussionen, nachdem ein massives Datenleck bekannt wurde, das jeden bis November 2025 erstellten Projekt betraf. Ein Nutzer auf X deckte einen Sicherheitsfehler auf, der es ermöglichte, über ein kostenloses Konto auf den Quellcode, Chat-Verläufe und Kundendaten anderer Nutzer zuzugreifen. Unter den betroffenen Accounts befanden sich Mitarbeiter namhafter Unternehmen wie Nvidia, Microsoft, Uber und Spotify. Der Melder kritisierte scharf, dass der Fehler bereits seit 48 Tagen bekannt war und von der Firma als Duplikat markiert wurde, ohne dass eine Behebung erfolgte. Lovable reagierte zunächst mit einer Dementierung eines tatsächlichen Datenbruchs und behauptete, der Zugriff auf öffentlichen Code sei eine bewusste Entscheidung zur Förderung der Community. Nach starkem Widerstand und dem Vorwurf des „Gaslightings" veröffentlichte das Unternehmen eine zweite Erklärung. Dort räumte die Firma ein, dass im Februar beim Zusammenführen der Berechtigungen im Backend versehentlich der Zugriff auf Chats in öffentlichen Projekten wieder aktiviert wurde. Dieser Fehler wurde unmittelbar nach der Aufklärung korrigiert, wodurch alle Chat-Inhalte öffentlicher Projekte nun privat sind. Experten sehen in diesem Vorfall ein Symptom für die wachsenden Risiken sogenannter „Vibe-Coding"-Tools. Tom Van de Wiele von der Security-Firma Hacker Minded bezeichnete das Ereignis als Beispiel für fehlende sichere Standardeinstellungen und eine mangelnde Bedrohungsmodellierung im KI-Zeitalter. Jake Moore, Global Cybersecurity Advisor bei ESET, ergänzte, dass die Debatte um die semanticschen Definitionen eines Bruchs das eigentliche Problem verdecke. Es handele sich weniger um einen Hackerangriff als um einen Designfehler, bei dem Daten durch falsche Voreinstellungen offen gelegt wurden. Moore warnte davor, dass Unternehmen durch das Argumentieren über Semantik aufdecken, dass Sicherheit nicht von Beginn an in die Architektur integriert wurde. Sicheres Design ist besonders herausfordernd, da Entwickler oft zwischen Benutzerfreundlichkeit und Datensicherheit abwägen müssen. Van de Wiele betonte, dass dies zwar eine Spannung zwischen niedriger Hürde für neue Nutzer und Schutz vor Datenabgriffen darstellt, aber keine Entschuldigung für schwache Schutzmaßnahmen ist. Moore fügte hinzu, dass Vibe-Coding-Tools die Risiken verschärfen, wenn Nutzer nicht vollständig verstehen, was sie preisgeben. Die Gefahr liege darin, dass Angreifer gar nicht hacken müssen, sondern einfach nur die fehlerhaften Standards ausnutzen. Dieser Vorfall fügt sich in eine Reihe aktueller Sicherheitsvorfälle im KI-Sektor ein. Ende März hatte Anthropic versehentlich fast 2.000 Dateien und 500.000 Codezeilen veröffentlicht. Eine Woche zuvor meldete Vercel einen Vorfall, bei dem Angreifer über einen Kompromittierung des Drittanbieter-Tools Context.ai Zugang zu internen Systemen erhielten. Fachleute wie Anish Acharya von Andreessen Horowitz warnen davor, KI-Assistenz bei jedem Teil des Geschäfts einzusetzen, da die Risiken oft die Vorteile überwiegen. Nutzer müssen sich bewusst sein, dass unbeabsichtigte Datenexponierung durch KI-Coding-Voreinstellungen eine reale Bedrohung darstellt und entsprechende Backup-Mechanismen essenziell sind.