La récente controverse entourant l'entreprise de démarrage en intelligence artificielle Lovable illustre les risques croissants liés à la pratique du codage par « intuition », souvent appelé vibe coding. En début de semaine, un utilisateur d'X a dénoncé une fuite massive de données sur la plateforme suédoise, affirmant que tous les projets créés avant novembre 2025 étaient potentiellement accessibles au public. Ce chercheur en sécurité, connu sous le pseudonyme Impulsive, a expliqué avoir pu consulter le code, les historiques de chat et les données clients d'autres utilisateurs via un compte gratuit, incluant ceux d'employés de grandes entreprises comme Nvidia et Microsoft. Selon lui, ce bug critique avait été signalé quarante-huit jours plus tôt sans qu'aucune correction ne soit apportée. En réponse initiale, Lovable a nié l'existence d'une faille de sécurité, soutenant que l'accès au code des projets publics était un choix délibéré destiné à faciliter l'exploration créative. Cependant, face aux vives critiques sur les réseaux sociaux concernant la clarté de cette communication et la sécurité des données, la startup a publié un second communiqué. Elle a reconnu une erreur de configuration survenue en février lors de la mise à jour de la gestion des permissions dans son système backend. Cette erreur avait par inadvertance réactivé l'accès aux conversations sur les projets publics. Lovable a immédiatement reverté ce changement et privé les projets publics de leurs chats, tout en précisant qu'à partir de décembre, la visibilité publique a été désactivée par défaut pour toutes les formules d'abonnement. Les réactions à cet incident révèlent un clivage : certains saluent la transparence finale de l'entreprise, tandis que d'autres critiquent la formulation initiale comme étant manipulatrice. Tom Van de Wiele, fondateur de la firme de sécurité Hacker Minded, qualifie l'incident d'exemple malheureux de défauts de sécurité par défaut et d'échec à modéliser les menaces dans l'ère de l'IA. Il souligne que compter sur la compréhension des utilisateurs pour distinguer les données publiques des privées est une stratégie vouée à l'échec. Jake Moore, conseiller en cybersécurité chez ESET, précise que bien qu'il ne s'agisse pas d'une intrusion traditionnelle, ce n'est pas un incident anodin. Pour lui, il s'agit d'un défaut de conception où la donnée a été exposée par erreur plutôt que volée. Ce genre de situation suggère que la sécurité n'a pas été intégrée dès le début du développement du produit. Cette affaire s'inscrit dans une série d'incidents de sécurité récents touchant le secteur de l'IA. Fin mars, Anthropic avait accidentellement divulgué un archive contenant près de 2 000 fichiers et 500 000 lignes de code. De plus, la plateforme d'hébergement Vercel a confirmé une intrusion résultant de la compromission d'un outil tiers utilisé par un employé, ayant permis l'accès à des systèmes internes. Ces multiples événements mettent en lumière le compromis difficile auquel font face les développeurs de ces outils : simplifier l'expérience utilisateur tout en garantissant une protection robuste contre le vol ou la divulgation accidentelle de données sensibles. Les experts avertissent que la facilité d'utilisation offerte par le codage IA peut conduire à des configurations par défaut dangereuses, exposant les entreprises à des risques sans qu'il soit nécessaire pour les attaquants de procéder à une piratage complexe.