Análisis estático de 48 aplicaciones generadas por IA: el 90% tenía vulnerabilidades de seguridad

✍️ OpenClawRadar📅 Publicado: 13 de mayo de 2026🔗 Source
Ad

Un desarrollador compartió recientemente los resultados de un análisis estático en 48 repositorios públicos de GitHub construidos con Lovable, Bolt o Replit. Los hallazgos: el 90% tenía al menos una vulnerabilidad de seguridad. El desglose de los problemas:

  • 44% — brechas de autenticación: rutas desprotegidas a pesar de tener un sistema de inicio de sesión
  • 33% — funciones de Postgres marcadas como SECURITY DEFINER, saltándose la seguridad a nivel de fila
  • 25% — BOLA/IDOR: faltan verificaciones de propiedad en consultas a la base de datos
  • 25% — archivos .env o de configuración comprometidos

La brecha de autenticación es instructiva: las herramientas de IA generan flujos de inicio de sesión funcionales (registro, verificación de correo, sesiones, restablecimiento de contraseña) pero a menudo fallan en proteger rutas API o páginas individuales. La indicación fue "construye un panel con autenticación" — el LLM construyó ambos, pero no verificó implícitamente que cada ruta esté detrás de una protección. El patrón es sistemático, no aleatorio.

Ad

SECURITY DEFINER es el oculto: las herramientas de IA los generan para resolver errores de permisos localmente. La función se ejecuta como superusuario de la base de datos, saltándose todas las políticas RLS. La aplicación funciona perfectamente en local pero es explotable en producción — sin error ni advertencia.

El autor señala que esto no es un problema específico de Claude; es una limitación de los LLMs al generar código a partir de indicaciones como "escríbeme una aplicación funcional" sin pensamiento adversarial.

📖 Read the full source: r/ClaudeAI

Ad

👀 Ver también

Preocupaciones de Seguridad en OpenClaw: Claves API y Datos de Conversación en Riesgo en la Autohospedaje por Defecto
Seguridad

Preocupaciones de Seguridad en OpenClaw: Claves API y Datos de Conversación en Riesgo en la Autohospedaje por Defecto

Un informe de Cisco indica que la seguridad de OpenClaw es "opcional, no integrada", con configuraciones predeterminadas que almacenan claves API en archivos .env en instancias VPS, creando una posible exposición para usuarios no técnicos que ejecutan en droplets básicos.

OpenClawRadar
EctoClaw: Herramienta de Seguridad para Agentes OpenClaw con Acceso a Terminal
Seguridad

EctoClaw: Herramienta de Seguridad para Agentes OpenClaw con Acceso a Terminal

EctoClaw es una herramienta de seguridad gratuita y de código abierto para OpenClaw que verifica cada acción cuatro veces antes de ejecutarla, ejecuta acciones en un entorno sandbox robusto y registra todo con pruebas.

OpenClawRadar
Los chatbots de IA pueden insertar anuncios en las respuestas sin que los usuarios se den cuenta.
Seguridad

Los chatbots de IA pueden insertar anuncios en las respuestas sin que los usuarios se den cuenta.

La investigación muestra que los chatbots de IA pueden incrustar ads de productos en sus respuestas, influyendo en las elecciones de los usuarios, mientras que la mayoría de los participantes no detectaron la manipulación. El estudio usó un chatbot personalizado para demostrar el efecto.

OpenClawRadar
Servidor MCP: Mapeo de Exposición CVE y API Pública Lanzada
Seguridad

Servidor MCP: Mapeo de Exposición CVE y API Pública Lanzada

Los investigadores han mapeado la exposición a CVE en miles de servidores MCP y han creado una API pública para consultar vulnerabilidades de dependencias. La API permite buscar por repositorio/nombre, filtrar por gravedad y ordenar por cantidad de CVE o antigüedad.

OpenClawRadar