Análisis estático de 48 aplicaciones generadas por IA: el 90% tenía vulnerabilidades de seguridad

Un desarrollador compartió recientemente los resultados de un análisis estático en 48 repositorios públicos de GitHub construidos con Lovable, Bolt o Replit. Los hallazgos: el 90% tenía al menos una vulnerabilidad de seguridad. El desglose de los problemas:

• 44% — brechas de autenticación: rutas desprotegidas a pesar de tener un sistema de inicio de sesión
• 33% — funciones de Postgres marcadas como SECURITY DEFINER, saltándose la seguridad a nivel de fila
• 25% — BOLA/IDOR: faltan verificaciones de propiedad en consultas a la base de datos
• 25% — archivos .env o de configuración comprometidos

La brecha de autenticación es instructiva: las herramientas de IA generan flujos de inicio de sesión funcionales (registro, verificación de correo, sesiones, restablecimiento de contraseña) pero a menudo fallan en proteger rutas API o páginas individuales. La indicación fue "construye un panel con autenticación" — el LLM construyó ambos, pero no verificó implícitamente que cada ruta esté detrás de una protección. El patrón es sistemático, no aleatorio.

SECURITY DEFINER es el oculto: las herramientas de IA los generan para resolver errores de permisos localmente. La función se ejecuta como superusuario de la base de datos, saltándose todas las políticas RLS. La aplicación funciona perfectamente en local pero es explotable en producción — sin error ni advertencia.

El autor señala que esto no es un problema específico de Claude; es una limitación de los LLMs al generar código a partir de indicaciones como "escríbeme una aplicación funcional" sin pensamiento adversarial.