Analyse statique de 48 applications générées par IA : 90 % présentaient des vulnérabilités de sécurité

Un développeur a récemment partagé les résultats d'une analyse statique sur 48 dépôts GitHub publics construits avec Lovable, Bolt ou Replit. Les conclusions : 90% présentaient au moins une vulnérabilité de sécurité. La répartition des problèmes :

• 44 % — lacunes d'authentification : routes non protégées malgré un système de connexion
• 33 % — fonctions Postgres marquées SECURITY DEFINER, contournant la sécurité au niveau des lignes
• 25 % — BOLA/IDOR : absence de vérifications de propriété dans les requêtes de base de données
• 25 % — fichiers .env ou de configuration commités

La lacune d'authentification est révélatrice : les outils d'IA génèrent des flux de connexion fonctionnels (inscription, vérification par e-mail, sessions, réinitialisation de mot de passe) mais échouent souvent à protéger les routes API ou les pages individuelles. L'invite était « crée un tableau de bord avec authentification » — le LLM a construit les deux, mais n'a pas vérifié implicitement que chaque route était derrière un garde-fou. Le schéma est systématique, pas aléatoire.

SECURITY DEFINER est le problème caché : les outils d'IA génèrent ces fonctions pour résoudre les erreurs de permission en local. La fonction s'exécute en tant que superutilisateur de la base, contournant toutes les politiques RLS. L'application fonctionne parfaitement en local mais est exploitable en production — sans erreur ni avertissement.

L'auteur note que ce n'est pas un problème spécifique à Claude ; c'est une contrainte des LLMs qui génèrent du code à partir d'invites du type « écris-moi une appli fonctionnelle » sans pensée antagoniste.