Análise Estática de 48 Aplicativos Gerados por IA: 90% Apresentavam Vulnerabilidades de Segurança

✍️ OpenClawRadar📅 Publicado: May 13, 2026🔗 Source
Ad

Um desenvolvedor recentemente compartilhou resultados de análises estáticas em 48 repositórios públicos do GitHub criados com Lovable, Bolt ou Replit. As descobertas: 90% tinham pelo menos uma vulnerabilidade de segurança. A distribuição dos problemas:

  • 44% — falhas de autenticação: rotas desprotegidas mesmo com um sistema de login
  • 33% — funções Postgres marcadas como SECURITY DEFINER, ignorando a segurança em nível de linha
  • 25% — BOLA/IDOR: falta de verificações de propriedade em consultas ao banco de dados
  • 25% — arquivos .env ou de configuração commitados

A falha de autenticação é instrutiva: ferramentas de IA geram fluxos de login funcionais (registro, verificação de e-mail, sessões, redefinição de senha), mas muitas vezes não protegem rotas ou páginas individuais da API. O prompt foi "crie um painel com autenticação" — o LLM construiu ambos, mas não verificou implicitamente se cada rota está protegida. O padrão é sistemático, não aleatório.

Ad

SECURITY DEFINER é o oculto: ferramentas de IA geram isso para resolver erros de permissão localmente. A função executa como superusuário do banco de dados, ignorando todas as políticas de RLS. O aplicativo funciona perfeitamente localmente, mas é explorável em produção — sem erro ou aviso.

O autor observa que isso não é um problema específico do Claude; é uma limitação dos LLMs ao gerar código a partir de prompts "escreva um aplicativo funcional" sem pensamento adversarial.

📖 Leia a fonte completa: r/ClaudeAI

Ad

👀 See Also