Análise Estática de 48 Aplicativos Gerados por IA: 90% Apresentavam Vulnerabilidades de Segurança
Um desenvolvedor recentemente compartilhou resultados de análises estáticas em 48 repositórios públicos do GitHub criados com Lovable, Bolt ou Replit. As descobertas: 90% tinham pelo menos uma vulnerabilidade de segurança. A distribuição dos problemas:
- 44% — falhas de autenticação: rotas desprotegidas mesmo com um sistema de login
- 33% — funções Postgres marcadas como
SECURITY DEFINER, ignorando a segurança em nível de linha - 25% — BOLA/IDOR: falta de verificações de propriedade em consultas ao banco de dados
- 25% — arquivos .env ou de configuração commitados
A falha de autenticação é instrutiva: ferramentas de IA geram fluxos de login funcionais (registro, verificação de e-mail, sessões, redefinição de senha), mas muitas vezes não protegem rotas ou páginas individuais da API. O prompt foi "crie um painel com autenticação" — o LLM construiu ambos, mas não verificou implicitamente se cada rota está protegida. O padrão é sistemático, não aleatório.
SECURITY DEFINER é o oculto: ferramentas de IA geram isso para resolver erros de permissão localmente. A função executa como superusuário do banco de dados, ignorando todas as políticas de RLS. O aplicativo funciona perfeitamente localmente, mas é explorável em produção — sem erro ou aviso.
O autor observa que isso não é um problema específico do Claude; é uma limitação dos LLMs ao gerar código a partir de prompts "escreva um aplicativo funcional" sem pensamento adversarial.
📖 Leia a fonte completa: r/ClaudeAI
👀 See Also

Clawndom: Um Gancho de Segurança para o Código Claude para Bloquear Pacotes npm Vulneráveis
Um desenvolvedor criou o Clawndom, um hook de código aberto para o Claude Code que verifica pacotes npm no banco de dados de vulnerabilidades OSV.dev antes da instalação, bloqueando pacotes vulneráveis conhecidos enquanto mantém a autonomia do agente.

FORGE: Framework de Teste de Segurança de IA de Código Aberto para Sistemas LLM
FORGE é um framework autônomo de teste de segurança de IA que constrói suas próprias ferramentas durante a execução, autorreplica-se em um enxame e cobre as 10 principais vulnerabilidades OWASP LLM, incluindo injeção de prompt, fuzzing de jailbreak e vazamento de RAG.

Sinais de áudio ocultos sequestram sistemas de IA de voz com 79-96% de sucesso
Pesquisas mostram que clipes de áudio imperceptíveis podem forçar LALMs a executar comandos não autorizados, como pesquisas na web, downloads de arquivos e exfiltração de e-mail, com 79-96% de sucesso em 13 modelos, incluindo Mistral e serviços da Microsoft.

A Raiz Humana da Confiança: Estabelecendo Responsabilidade para Agentes de IA Autônomos
O Human Root of Trust é um framework de domínio público que aborda a falta de responsabilização por agentes de IA autônomos por meio de meios criptográficos.