Análise Estática de 48 Aplicativos Gerados por IA: 90% Apresentavam Vulnerabilidades de Segurança
Um desenvolvedor recentemente compartilhou resultados de análises estáticas em 48 repositórios públicos do GitHub criados com Lovable, Bolt ou Replit. As descobertas: 90% tinham pelo menos uma vulnerabilidade de segurança. A distribuição dos problemas:
- 44% — falhas de autenticação: rotas desprotegidas mesmo com um sistema de login
- 33% — funções Postgres marcadas como
SECURITY DEFINER, ignorando a segurança em nível de linha - 25% — BOLA/IDOR: falta de verificações de propriedade em consultas ao banco de dados
- 25% — arquivos .env ou de configuração commitados
A falha de autenticação é instrutiva: ferramentas de IA geram fluxos de login funcionais (registro, verificação de e-mail, sessões, redefinição de senha), mas muitas vezes não protegem rotas ou páginas individuais da API. O prompt foi "crie um painel com autenticação" — o LLM construiu ambos, mas não verificou implicitamente se cada rota está protegida. O padrão é sistemático, não aleatório.
SECURITY DEFINER é o oculto: ferramentas de IA geram isso para resolver erros de permissão localmente. A função executa como superusuário do banco de dados, ignorando todas as políticas de RLS. O aplicativo funciona perfeitamente localmente, mas é explorável em produção — sem erro ou aviso.
O autor observa que isso não é um problema específico do Claude; é uma limitação dos LLMs ao gerar código a partir de prompts "escreva um aplicativo funcional" sem pensamento adversarial.
📖 Leia a fonte completa: r/ClaudeAI
👀 See Also
Nullgaze: Scanner de Segurança com Suporte de IA de Código Aberto Lançado
Nullgaze é um novo scanner de segurança de código aberto com suporte de IA que detecta vulnerabilidades específicas para código gerado por IA, apresentando quase zero falsos positivos.
SupraWall MCP Plugin Bloqueia Ataques de Injeção de Prompt em Agentes de IA Locais
SupraWall é um plugin MCP que intercepta e bloqueia tentativas de exfiltração de dados sensíveis de agentes de IA, demonstrado em um desafio de red team onde impediu vazamentos de credenciais por meio de ataques de injeção de prompt.
mcp-scan: Scanner de segurança para configurações de servidor MCP
mcp-scan verifica configurações de servidores MCP para problemas de segurança, incluindo segredos em arquivos de configuração, vulnerabilidades conhecidas em pacotes, padrões de permissão suspeitos, vetores de exfiltração e ataques de envenenamento de ferramentas. Ele detecta automaticamente configurações para Claude Desktop, Cursor, VS Code, Windsurf e 6 outros clientes de IA.
Clawndom: Um Gancho de Segurança para o Código Claude para Bloquear Pacotes npm Vulneráveis
Um desenvolvedor criou o Clawndom, um hook de código aberto para o Claude Code que verifica pacotes npm no banco de dados de vulnerabilidades OSV.dev antes da instalação, bloqueando pacotes vulneráveis conhecidos enquanto mantém a autonomia do agente.