O Lovable é seguro? Como proteger seu app no Lovable
O Lovable entrega rápido e já conecta um back-end Supabase para você — mas rotineiramente deixa seu banco de dados aberto para leitura.
O Lovable em si não é "inseguro", mas os apps que ele gera frequentemente são. O problema mais comum é a segurança em nível de linha (RLS) ausente ou permissiva no banco Supabase que ele provisiona, o que permite que qualquer pessoa leia (e às vezes escreva) os dados dos seus usuários. Foi essa a raiz da CVE-2025-48757 e da exposição em massa de abril de 2026.
O Lovable é um construtor de apps com IA legítimo, mas os apps que ele gera costumam ser inseguros por padrão. O problema mais comum, de longe, é a segurança em nível de linha (RLS) do Supabase ausente ou permissiva, que permite a qualquer pessoa com sua chave anon pública ler — e às vezes escrever — os dados dos seus usuários. A mesma causa raiz originou a CVE-2025-48757 do Lovable e a exposição em massa de dados de abril de 2026. Dá para construir um produto seguro no Lovable, mas você precisa tratar o app gerado como um rascunho e fazer uma checagem de segurança antes de lançar.
Lovable segurança num relance
- Tipo de plataforma
- Construtor de apps com IA no-code (back-end Supabase)
- Risco mais comum
- Segurança em nível de linha deixada aberta nas tabelas Supabase
- Incidente notável
- CVE-2025-48757 (CVSS de até 9.3, mais de 170 apps)
- Como verificar
- Rode o verificador de RLS do Supabase grátis com sua chave anon
- Pode lançar?
- Pode — depois de ativar a RLS e fazer uma revisão de segurança
Os riscos de segurança mais comuns do Lovable
Segurança em nível de linha totalmente aberta
As tabelas muitas vezes ficam legíveis pela chave anon pública. "Eu sei que ativei a RLS, então estou tranquilo" é a suposição mais comum — e mais errada. O Lovable frequentemente deixa o acesso de leitura totalmente aberto mesmo quando a RLS parece estar ativada.
Segredos enviados ao navegador
Chaves service_role, chaves do Stripe e outros segredos podem acabar no bundle do cliente, onde qualquer pessoa consegue lê-los abrindo as ferramentas de desenvolvedor.
Rotas de admin sem autenticação de verdade
Os painéis administrativos gerados costumam ser acessíveis sem checagens de autorização adequadas, então qualquer um que adivinhe a URL consegue entrar.
Lovable mass data exposure
Every project before Nov 2025
A disclosure claimed every Lovable project created before November 2025 was exposed — driven by missing row-level security on user databases.
Public disclosure, Apr 2026 (amplified across X/HN)
Como proteger seu app no Lovable
Verifique seu app no Lovable em 60 segundos
Cole a URL já no ar para uma varredura gratuita de prontidão para o lançamento e, em seguida, receba uma liberação revisada por humanos e com seguro antes de lançar.
Perguntas frequentes sobre segurança do Lovable
- O Lovable é seguro para usar em um produto de verdade?
- Sim, com revisão. O Lovable é uma plataforma legítima, mas a saída padrão muitas vezes não tem segurança em nível de linha adequada e pode vazar segredos. Trate o app gerado como um rascunho que precisa de uma checagem de segurança antes de lançar.
- Como sei se o banco de dados do meu app Lovable está exposto?
- Rode nosso verificador de RLS do Supabase grátis com a URL do seu projeto e a chave anon pública — ele lista todas as tabelas que estão legíveis sem autenticação.
- Por que o Lovable deixa a RLS aberta?
- O Lovable é otimizado para entregar software funcionando rápido. Gerar políticas de segurança em nível de linha restritivas para cada tabela é difícil de automatizar corretamente, então ele costuma entregar padrões permissivos que se espera que você mesmo aperte.