Analyse statischer Sicherheit von 48 KI-generierten Apps: 90 % wiesen Sicherheitslücken auf

Ein Entwickler hat kürzlich Ergebnisse einer statischen Analyse von 48 öffentlichen GitHub-Repos veröffentlicht, die mit Lovable, Bolt oder Replit erstellt wurden. Die Erkenntnisse: 90% hatten mindestens eine Sicherheitslücke. Die Aufschlüsselung der Probleme:

• 44% — Authentifizierungslücken: Routen ungeschützt trotz eines Login-Systems
• 33% — Postgres-Funktionen mit SECURITY DEFINER, die die Zeilensicherheit umgehen
• 25% — BOLA/IDOR: fehlende Eigentümerprüfungen in Datenbankabfragen
• 25% — eingecheckte .env- oder Konfigurationsdateien

Die Authentifizierungslücke ist aufschlussreich: KI-Tools generieren funktionierende Login-Abläufe (Registrierung, E-Mail-Verifizierung, Sitzungen, Passwort-Reset), versäumen es aber oft, einzelne API-Routen oder Seiten zu schützen. Die Aufforderung war „Erstelle ein Dashboard mit Authentifizierung“ — das LLM baute beides, überprüfte aber nicht implizit, ob jede Route durch eine Schutzmaßnahme gesichert ist. Das Muster ist systematisch, nicht zufällig.

SECURITY DEFINER ist die versteckte: KI-Tools generieren diese, um Berechtigungsfehler lokal zu beheben. Die Funktion läuft als DB-Superuser und umgeht alle RLS-Richtlinien. Die App funktioniert lokal einwandfrei, ist aber in der Produktion ausnutzbar — ohne Fehler oder Warnung.

Der Autor merkt an, dass dies kein Claude-spezifisches Problem ist; es ist eine Einschränkung von LLMs, die Code aus Aufforderungen wie „Schreib mir eine funktionierende App“ generieren, ohne adversariales Denken.