
一句话看懂:资深安全研究者 Rescue Studio 通过一条简短的推文揭露了一个 AI 应用开发中的常见但严重的安全漏洞——许多开发者在使用 AI 工具构建应用时,默认将数据库设为公开访问,导致任意用户都能跨账户读取他人数据。该漏洞可通过一个简单测试在30秒内确认。
事件核心:发生了什么
2026年7月12日,安全研究团队 Rescue Studio(@dkcmedia24)在 X 平台发布推文,指出大量由 AI 工具构建的应用程序存在严重的数据安全缺陷。具体表现为:开发者在利用 AI 构建应用时,常默认开放数据库访问权限,并未实施必要的用户数据隔离。Rescue Studio 提供了一个30秒的自我检测方法:创建两个账户,用一个账户添加数据,再用另一个账户登录并尝试打开这些数据,如果能看到,就证明数据库是开放的。他们同时提供了免费扫描工具(lambent-truffle-da7dae.netlify.app)和付费安全套件(dkcmedia.gumroad.com/l/xjahgx)来帮助开发者修复此问题。
为什么重要
当前 AI 应用开发门槛大幅降低,许多非安全背景的创作者、创业者甚至企业,正在利用大模型和 API 快速构建面向用户的 AI 产品。然而,这种“快速上线”的文化往往牺牲了基本的安全架构。Rescue Studio 发现的漏洞并非某个特定模型或 API 的缺陷,而是一种普遍性的开发习惯问题——默认开放的数据库权限。这种问题一旦被恶意利用,可能导致用户隐私数据、企业敏感信息(如 API Key、内部决策数据)大规模泄露。对于依赖 OpenAI、Claude、Gemini 等模型构建应用的团队来说,这直接关系到合规性(如 GDPR、中国《个人信息保护法》)和用户信任。
对用户/开发者/创作者的影响
对普通用户:使用任何由 AI 构建的应用时,应警惕数据可能被其他用户访问。在应用明确说明数据隔离机制前,避免输入敏感个人信息。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
对开发者:这是最直接的警示。许多开发者在利用大模型生成代码(如 OpenAI 的 API、Claude 的代码生成功能)时,会直接接受默认的数据库配置。开发者必须手动检查并实施用户身份认证、数据权限隔离(Row-Level Security)和数据库访问控制。
对AI应用创作者和初创团队:在快速迭代产品时,应将安全扫描纳入持续集成流程。Rescue Studio 提供的免费扫描工具可作为一个起点,但建议使用更全面的安全审计工具。忽视此问题可能导致产品上线后被数据泄露事件所毁。
值得关注的后续
目前公开信息显示:1)Rescue Studio 是否会公布更多受影响的 AI 构建应用案例或统计数据;2)主流的 AI 代码生成平台(如 GitHub Copilot、Cursor、Replit)是否会针对此漏洞更新代码提示或默认安全模板;3)云服务商(如 AWS、Google Cloud、Azure)和数据库即服务提供商是否会推出针对 AI 生成代码的安全检查功能。
来源:@dkcmedia24


