48個のAI生成アプリの静的解析:90%にセキュリティ脆弱性

✍️ OpenClawRadar📅 公開日: May 13, 2026🔗 Source
Ad

ある開発者が最近、Lovable、Bolt、または Replit で構築された 48 のパブリック GitHub リポジトリに対して静的解析を実行した結果を共有しました。その結果、90% に少なくとも 1 つのセキュリティ脆弱性が存在していました。問題の内訳は以下の通りです:

  • 44% — 認証のギャップ: ログインシステムが存在するにもかかわらず、ルートが保護されていない
  • 33% — SECURITY DEFINER とマークされた Postgres 関数が行レベルセキュリティをバイパス
  • 25% — BOLA/IDOR: データベースクエリでの所有権チェックの欠如
  • 25% — .env または設定ファイルのコミット

認証のギャップは示唆に富んでいます。AI ツールは動作するログインフロー(登録、メール確認、セッション、パスワードリセット)を生成しますが、個々の API ルートやページを保護できないことがよくあります。プロンプトは「認証付きのダッシュボードを作成して」というものでした。LLM は両方を構築しましたが、すべてのルートがガードの背後にあるかを暗黙的に確認しませんでした。このパターンは系統的であり、ランダムではありません。

SECURITY DEFINER は隠れた問題です。AI ツールはローカルで権限エラーを解決するためにこれらを生成します。この関数は DB スーパーユーザーとして実行され、すべての RLS ポリシーをバイパスします。アプリはローカルでは完全に動作しますが、本番環境では悪用可能であり、エラーや警告は発生しません。

著者は、これは Claude 固有の問題ではなく、「動くアプリを作成して」というプロンプトからコードを生成する LLM の制約であり、敵対的思考が欠如しているためだと指摘しています。

📖 全文を読む: r/ClaudeAI

Ad

👀 See Also