
一句话看懂:AI编程工具大幅降低了应用开发门槛,但安全研究机构发现,大量由AI“零代码”生成的应用存在严重配置漏洞,导致数百万用户数据裸奔。这警示行业:能跑不等于安全,AI在创造便利的同时,也在批量制造新的数据风险。
事件核心:发生了什么
安全研究机构Wiz披露,一个名为Moltbook的AI代理社交网络产品,因数据库配置错误,导致150万个API认证令牌、3.5万个邮箱地址及大量私密消息完全公开。创始人承认,该产品完全通过“vibe-coding”(用自然语言让AI生成代码)完成,本人未写一行代码。无独有偶,以色列安全公司RedAccess发现约5000个由Lovable、Replit等AI/低代码平台生成的应用存在敏感数据泄露,包括医疗和财务记录。更早前,Lovable平台自身也被发现存在BOLA漏洞,可能暴露用户源码和数据库凭证。
为什么重要
这些案例戳破了“人人都是开发者”的美丽泡泡。AI解决了“生成代码”的效率问题,但完全没有解决“谁为安全负责”的责任问题。过去,独立开发者最怕产品没人用;现在,一批半成品App因AI而快速上线,它们界面好看、交互流畅,却因缺乏权限隔离、密钥管理和攻击防护等“看不见”的能力,在获得真实用户后,反而将数据置于危险中。平台方(如Lovable)在出事后的第一反应往往是强调“用户理解偏差”,这暴露了当前AI编程生态中,平台享受“零门槛”增长红利,却将安全代价甩给了最不懂技术的用户。
对用户/开发者/创作者的影响
对开发者:新的核心壁垒不再是“能否生成App”,而是“能否为App负责”。必须理解:AI生成的代码会制造心理距离,让人误以为“它能跑就没问题”。务必将数据安全、权限设计和废弃后的数据清理列为第一优先级。对普通用户:使用AI生成的应用时,需保持警惕。漂亮的前端并不能保证后端安全,避免在这些新应用中存放敏感个人数据或授权访问重要服务。对平台方:不能只做增长不做护栏。默认私有而非公开、上线前自动扫描硬编码密钥、提供清晰的安全检查清单,这些不是锦上添花,而是平台应绑定的基本责任。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
1. 监管与合规收紧:苹果已要求在App Store审核中说明AI数据使用情况。随着类似泄密事件增多,各国监管机构可能对AI生成应用出台更严格的默认安全标准。2. 平台责任界定:Lovable和Moltbook的案例将推动行业讨论:当平台宣称“无需写代码”时,是否应承担起“默认安全”的连带责任?3. 安全工具市场爆发:针对AI生成代码的自动化安全扫描和权限审核工具,将成为下一个增长点——因为开发者越容易上线,就越容易提前进入责任区。
来源:36氪 · 24小时热榜


