48개 AI 생성 앱의 정적 분석 결과: 90%가 보안 취약점 보유

✍️ OpenClawRadar📅 게시일: May 13, 2026🔗 Source
Ad

한 개발자가 최근 Lovable, Bolt, Replit로 빌드된 48개의 공개 GitHub 저장소에 대해 정적 분석을 수행한 결과를 공유했습니다. 결과: 90% 이상이 최소 하나의 보안 취약점을 가지고 있었습니다. 문제의 세부 분류는 다음과 같습니다:

  • 44% — 인증 누락: 로그인 시스템이 있음에도 보호되지 않은 라우트
  • 33% — SECURITY DEFINER로 표시된 Postgres 함수, 행 수준 보안 우회
  • 25% — BOLA/IDOR: 데이터베이스 쿼리에서 소유권 확인 누락
  • 25% — 커밋된 .env 또는 설정 파일

인증 누락은 의미심장합니다: AI 도구는 로그인 흐름(등록, 이메일 확인, 세션, 비밀번호 재설정)을 잘 생성하지만, 개별 API 라우트나 페이지를 보호하지 못하는 경우가 많습니다. 프롬프트가 "인증이 있는 대시보드 만들기"라면, LLM은 둘 다 만들지만 모든 라우트가 보호되어야 한다는 점을 암시적으로 확인하지 않습니다. 이 패턴은 무작위가 아니라 체계적입니다.

SECURITY DEFINER는 숨겨진 문제입니다: AI 도구는 로컬 권한 오류를 해결하기 위해 이를 생성합니다. 이 함수는 DB 수퍼유저로 실행되어 모든 RLS 정책을 우회합니다. 앱은 로컬에서 완벽하게 작동하지만 프로덕션에서 취약점이 됩니다 — 오류나 경고가 없습니다.

저자는 이것이 클로드(Claude) 특정 문제가 아니라, "작동하는 앱 만들어줘" 프롬프트에 의해 코드를 생성하는 LLM의 한계라고 지적합니다. 적대적 사고가 결여되어 있습니다.

📖 전체 출처 읽기: r/ClaudeAI

Ad

👀 See Also