Analyse statique de 48 applications générées par IA : 90 % présentaient des vulnérabilités de sécurité
Un développeur a récemment partagé les résultats d'une analyse statique sur 48 dépôts GitHub publics construits avec Lovable, Bolt ou Replit. Les conclusions : 90% présentaient au moins une vulnérabilité de sécurité. La répartition des problèmes :
- 44 % — lacunes d'authentification : routes non protégées malgré un système de connexion
- 33 % — fonctions Postgres marquées
SECURITY DEFINER, contournant la sécurité au niveau des lignes - 25 % — BOLA/IDOR : absence de vérifications de propriété dans les requêtes de base de données
- 25 % — fichiers .env ou de configuration commités
La lacune d'authentification est révélatrice : les outils d'IA génèrent des flux de connexion fonctionnels (inscription, vérification par e-mail, sessions, réinitialisation de mot de passe) mais échouent souvent à protéger les routes API ou les pages individuelles. L'invite était « crée un tableau de bord avec authentification » — le LLM a construit les deux, mais n'a pas vérifié implicitement que chaque route était derrière un garde-fou. Le schéma est systématique, pas aléatoire.
SECURITY DEFINER est le problème caché : les outils d'IA génèrent ces fonctions pour résoudre les erreurs de permission en local. La fonction s'exécute en tant que superutilisateur de la base, contournant toutes les politiques RLS. L'application fonctionne parfaitement en local mais est exploitable en production — sans erreur ni avertissement.
L'auteur note que ce n'est pas un problème spécifique à Claude ; c'est une contrainte des LLMs qui génèrent du code à partir d'invites du type « écris-moi une appli fonctionnelle » sans pensée antagoniste.
📖 Lire la source complète : r/ClaudeAI
👀 See Also

820 compétences malveillantes découvertes sur le marché ClawHub d'OpenClaw
Des chercheurs en sécurité ont identifié 820 compétences sur la place de marché ClawHub d'OpenClaw contenant des logiciels malveillants confirmés, notamment des enregistreurs de frappe, des scripts d'exfiltration de données et des commandes shell cachées. Ces compétences peuvent exécuter du code et interagir avec l'environnement local, créant des risques de sécurité dans la chaîne d'approvisionnement.

Exploitation assistée par LLM : Aperçu du Mythos d'Anthropic a aidé à construire la première exploitation publique du noyau macOS sur Apple M5 en cinq jours.
En utilisant Mythos Preview d'Anthropic, la société de sécurité Calif a construit le premier exploit public de corruption mémoire du noyau macOS sur le silicium M5 d'Apple en cinq jours, brisant ainsi la sécurité matérielle MIE qu'Apple a mis cinq ans à développer.

pi-gouvernance : RBAC, DLP et journalisation d'audit pour les agents de codage OpenClaw
pi-governance est un plugin qui s'interpose entre les agents d'IA de codage et votre système, classifiant les appels d'outils et bloquant les opérations risquées. Il fournit le blocage des commandes bash, l'analyse DLP pour les secrets et les données personnelles, le contrôle d'accès basé sur les rôles, et la journalisation d'audit structurée sans configuration.

L'amélioration de la sécurité de ClawVault ajoute la détection des données sensibles pour OpenClaw
Une nouvelle amélioration de ClawVault ajoute une détection en temps réel des données sensibles et une assainissement automatique pour le trafic API OpenClaw, interceptant les mots de passe en clair, les clés API et les jetons avant qu'ils n'atteignent les fournisseurs de LLM.