48개 AI 생성 앱의 정적 분석 결과: 90%가 보안 취약점 보유
한 개발자가 최근 Lovable, Bolt, Replit로 빌드된 48개의 공개 GitHub 저장소에 대해 정적 분석을 수행한 결과를 공유했습니다. 결과: 90% 이상이 최소 하나의 보안 취약점을 가지고 있었습니다. 문제의 세부 분류는 다음과 같습니다:
- 44% — 인증 누락: 로그인 시스템이 있음에도 보호되지 않은 라우트
- 33% —
SECURITY DEFINER로 표시된 Postgres 함수, 행 수준 보안 우회 - 25% — BOLA/IDOR: 데이터베이스 쿼리에서 소유권 확인 누락
- 25% — 커밋된 .env 또는 설정 파일
인증 누락은 의미심장합니다: AI 도구는 로그인 흐름(등록, 이메일 확인, 세션, 비밀번호 재설정)을 잘 생성하지만, 개별 API 라우트나 페이지를 보호하지 못하는 경우가 많습니다. 프롬프트가 "인증이 있는 대시보드 만들기"라면, LLM은 둘 다 만들지만 모든 라우트가 보호되어야 한다는 점을 암시적으로 확인하지 않습니다. 이 패턴은 무작위가 아니라 체계적입니다.
SECURITY DEFINER는 숨겨진 문제입니다: AI 도구는 로컬 권한 오류를 해결하기 위해 이를 생성합니다. 이 함수는 DB 수퍼유저로 실행되어 모든 RLS 정책을 우회합니다. 앱은 로컬에서 완벽하게 작동하지만 프로덕션에서 취약점이 됩니다 — 오류나 경고가 없습니다.
저자는 이것이 클로드(Claude) 특정 문제가 아니라, "작동하는 앱 만들어줘" 프롬프트에 의해 코드를 생성하는 LLM의 한계라고 지적합니다. 적대적 사고가 결여되어 있습니다.
📖 전체 출처 읽기: r/ClaudeAI
👀 See Also

OpenClaw 보안 위험: 자율적 행동 및 권한 문제
OpenClaw는 사용자 확인을 기다리지 않고 이메일, 캘린더, 메시징, 파일에서 자율적으로 작동하며, 데이터 유출, 프롬프트 주입, 중지 명령 무시 사례가 문서화되어 있습니다.

Fil-C가 setjmp/longjmp와 ucontext를 메모리 안전하게 만듦
Fil-C는 메모리 안전성을 제공하는 C 방언으로, 스택 손상이나 매달린 포인터 없이 setjmp/longjmp와 ucontext API를 구현하여 일반적인 오용으로 인한 충돌이나 악용을 방지합니다.

로블록스 치트 및 AI 도구가 Vercel 플랫폼 중단을 초래했습니다
Roblox 치트와 AI 도구가 결합되어 Vercel의 전체 플랫폼 가동 중단을 초래했다는 보도가 나왔으며, 이는 Hacker News에서 66점과 24개의 댓글을 기록하며 상당한 논의를 불러일으켰습니다.

AI를 인간보다 더 신뢰하지 마세요 — 동일한 접근 통제를 적용하세요
Reddit 토론에서는 AI 코딩 에이전트를 주니어 개발자처럼 대우해야 한다고 주장합니다 — 프로덕션 접근 금지, 직접 쓰기 금지, CI/CD 파이프라인 및 역할 기반 권한 적용.