7.8
深览指数
科技腾讯新闻·钛媒体APP··AI 生成
AI批量造App,也在批量埋雷
AI 编程降低了软件开发门槛,催生了大量由非专业人士通过 Vibe Coding 生成的 App,但这些应用普遍存在严重的安全隐患。文章以 Moltbook 数据库泄露、RedAccess 调查等案例指出,AI 生成的应用常因缺乏认证、权限隔离等安全配置而将用户数据裸奔于公网。作者认为,平台在享受“零门槛”增长红利时,有责任提供默认安全的护栏,而非将安全代价转嫁给最无能力的用户。文章适合关注 AI 编程风险、软件安全或产品责任的科技从业者阅读。原文 ↗
核心观点
- ▍AI 编程在批量制造 App 的同时,也因非专业开发者忽视安全配置而批量制造了数据泄露的风险点,核心问题在于“能跑”不等于“能用”,“能上线”不等于“能负责”。
- ▍AI 编程平台享受“人人都是开发者”的增长红利,却未承担提供默认安全护栏的责任,将安全代价转嫁给了最无能力承担的用户。
- 01由 Vibe Coding 打造的 AI 代理社交网络 Moltbook 因配置错误的 Supabase 数据库,导致 150 万个 API 认证令牌、3.5 万个邮箱地址及大量私密消息对外公开。
- 02以色列安全公司 RedAccess 发现约 38 万个由 AI/低代码平台(如 Lovable、Replit)生成的公开资产中,约 5000 个包含敏感企业信息,包括医疗记录、财务数据。其 CEO 指出这些应用的隐私设置“默认就是公开访问”。
- 03Lovable 平台自身曾出现 BOLA 漏洞,研究员可通过 API 调用访问其他用户的源代码和数据库凭证。平台起初将问题归因于用户对权限设置的理解偏差,后承认其 2 月份的权限调整意外将默认值从私有改回公开。
- 04独立开发者 Bob Starr 用 AI 拼出的网站,上线数月后才发现存在 SQL 注入漏洞。文章指出,业余项目在处理真实财务、医疗数据时,开发者往往意识不到自己已经“越线”。
- 05传统低代码和无代码平台曾遗留大量“没人敢动”的企业内部系统;AI 编程将这一问题从内网推向了公网,且 AI 生成的产品界面精致,但后端脆弱,难以被非专业人士识别。
反方 / 局限
- — 作者承认 AI 编程确实打开了巨大的空间,让过去因开发成本过高而无法被满足的小需求得以实现,一个人就可以快速验证想法并服务小众群体。
- — 文章指出,围绕 AI 生成代码的版权归属(如 Doe v. GitHub 案)和第三方 AI 数据处理合规要求(如苹果 App Store 审核规则),也是 Vibe Coding 带来的、除安全漏洞之外的复杂风险。
MoltbookWizSupabaseRedAccessLovableBase44ReplitNetlifyHackerOneThe VergeDoe v. GitHubBob StarrVibe CodingBOLA
10 分钟 · 4 卡片 · 12 资料
读原文 →