48個のAI生成アプリの静的解析:90%にセキュリティ脆弱性
ある開発者が最近、Lovable、Bolt、または Replit で構築された 48 のパブリック GitHub リポジトリに対して静的解析を実行した結果を共有しました。その結果、90% に少なくとも 1 つのセキュリティ脆弱性が存在していました。問題の内訳は以下の通りです:
- 44% — 認証のギャップ: ログインシステムが存在するにもかかわらず、ルートが保護されていない
- 33% —
SECURITY DEFINERとマークされた Postgres 関数が行レベルセキュリティをバイパス - 25% — BOLA/IDOR: データベースクエリでの所有権チェックの欠如
- 25% — .env または設定ファイルのコミット
認証のギャップは示唆に富んでいます。AI ツールは動作するログインフロー(登録、メール確認、セッション、パスワードリセット)を生成しますが、個々の API ルートやページを保護できないことがよくあります。プロンプトは「認証付きのダッシュボードを作成して」というものでした。LLM は両方を構築しましたが、すべてのルートがガードの背後にあるかを暗黙的に確認しませんでした。このパターンは系統的であり、ランダムではありません。
SECURITY DEFINER は隠れた問題です。AI ツールはローカルで権限エラーを解決するためにこれらを生成します。この関数は DB スーパーユーザーとして実行され、すべての RLS ポリシーをバイパスします。アプリはローカルでは完全に動作しますが、本番環境では悪用可能であり、エラーや警告は発生しません。
著者は、これは Claude 固有の問題ではなく、「動くアプリを作成して」というプロンプトからコードを生成する LLM の制約であり、敵対的思考が欠如しているためだと指摘しています。
📖 全文を読む: r/ClaudeAI
👀 See Also

PythonとGemini Flashを使用したOpenClawコマンドのセキュリティ監視
ユーザーが作成したPythonスクリプトは、OpenClawによって注入されたコマンドを追跡し、Gemini Flashで分析し、Discordウェブフックを通じて異常または不審な活動について通知を送信します。1日あたりのコストは約0.14ドルです。

アイアンクローのAIエージェント安全性に対するセキュリティ第一のアプローチ
IronClawは、安全な動作をLLMの知能に依存する代わりに、制約付き実行、暗号化環境、明示的な権限を実装することで、AIエージェントのセキュリティ懸念に対処します。

Claude Codeワーム「Hades」、AI設定とPython起動フックで認証情報を窃取
アクティブなClaude Code攻撃(UNC6780)は「Hades」に進化。Python経由で拡散し、AIスキャナーを通過、Claude、Cursor、Copilot、Geminiの設定フックを仕込み秘密情報を盗むワーム。

人間的信頼の根源:自律型AIエージェントに対する説明責任の確立
Human Root of Trustは、自律型AIエージェントに対する説明責任の欠如を暗号技術によって解決する、パブリックドメインのフレームワークです。