数千款使用 Lovable、Replit、Netlify 和 Base44 等 Agentic AI 平台构建的应用正在泄露私有数据
摘要
Red Access 的一项调查显示,数千款在 Lovable 和 Replit 等平台上由 AI 生成的 Web 应用因配置错误而暴露敏感私有数据。这凸显了“氛围编程”(vibe coding)这一上升趋势以及未经审核的 AI 工具使用所带来的重大安全风险。
以色列网络安全公司 Red Access 的一项新调查发现,数千款 AI 生成的 Web 应用泄露了从医疗记录到内部商业文件等各种数据。调查结果加剧了人们对“氛围编程”日益增长的担忧,这是一种快速兴起的风潮,用户高度依赖 AI 工具来生成和部署软件,却几乎没有或完全没有传统编程经验。Red Access 的另一项新调查发现,大约 38 万个使用 Lovable、Replit、Netlify 和 Base44 等 AI 编码工具创建的公共可访问资产。研究人员表示,其中约有 5,000 个应用暴露了潜在的敏感信息。Axios 报道的这些发现表明,许多用户在发布内部工具时,并未意识到它们已处于公共可访问状态。Red Access 首席执行官 Dor Zvi 表示,该公司在研究“影子 AI”(即员工未经组织正式批准而使用 AI 工具)时发现这些应用。
相似文章
在您用 vibe 编码开发另一个应用之前,请先阅读本文
本文警告了AI辅助“vibe 编码”应用中的安全漏洞,引用了SQL注入和数据库泄露等真实案例,并建议在处理敏感数据时尤其要谨慎。
数百万AI代理因开源包中的严重漏洞而面临风险
开源ASGI框架Starlette中的一个严重漏洞(CVE-2026-48710,名为BadHost)使数百万AI代理和服务器面临数据被盗和凭证泄露的风险,影响了FastAPI、vLLM和LiteLLM等框架。该漏洞已在Starlette 1.0.1中修复,利用起来非常简单,凸显了AI工具生态系统中的风险。
@PrajwalTomar_: Vibe 程序员正在被起诉。人们推出拥有真实用户的应用,却跳过了那些实际上可能……的枯燥环节。
一位拥有20多年经验的开发者分享了一份 AI 应用构建者经常忽略的发布前安全与隐私检查清单,并警告说,未进行这些检查就发布应用会带来法律风险。
市场正被无人想要的软件淹没
讨论AI智能体如何实现快速应用创建,但产生缺乏开发者理解的陌生代码库,导致应用泛滥但用户吸引力极小。
感觉人们给AI智能体赋予生产环境访问权限过于随意了。
一条推文表达了担忧:开发者在不充分理解安全性的情况下,赋予AI智能体对生产环境、内部工具和API的过度宽松访问权限,并指出随着这些系统变得更加自主,风险正在增大。