在您用 vibe 编码开发另一个应用之前，请先阅读本文

# 在下次用 vibe-code 开发应用前，请先读读这个 来源：https://www.theverge.com/ai-artificial-intelligence/950844/vibe-coding-security-risks-apps Bob Starr 对自己用 vibe-code 开发的网站颇为得意。“Boomberg”（https://boomberg.xyz/）展示了美国有多少税收流向了科技公司，Starr 完成后立即就将其上线。直到网站上线几个月后，他才意识到一个问题：一个隐藏的 SQL 注入风险。这个漏洞可能让攻击者读取或篡改那些本不应接触的数据。 “这完全是我自己的疏忽。在我学习并理解这项新技术的过程中，它完全是我的盲区。我相信还有其他人也在犯同样的错误。”Starr 说，他是一名科技行业的项目经理。 “在我学习并理解这项新技术的过程中，它完全是我的盲区。” Starr 修复了这个问题，但他并非个例。在社交媒体上，充斥着关于 vibe-code 应用存在大量安全漏洞的恐怖故事。PocketOS 创始人 Jer Crane 在 X 上发帖，称一个 AI 编程代理（https://x.com/lifeof_jer/status/2048103471019434248?s=46）清空了他公司的生产数据库。连续创业者、前开发者 Joe Procopio 用 vibe-code 做了一个 Web 应用（https://www.inc.com/joe-procopio/vibe-coding-was-a-ruse-to-sell-ai-coding-to-the-enterprise/91293969），私下展示他构建的其他应用。结果黑客找上门来，他只好将应用下线。“现在我改用老办法做演示——从本地机器通过 Zoom 展示，”他写道，“这真的太 2023 了。” 正如 *The Verge* 的 David Pierce 所说，我们已进入“个人软件新时代”（https://www.theverge.com/tech/928905/vibe-code-personal-software-revolution），任何人都可以用 AI 创建自己的私有应用，完全按自己的意愿运行。但随之而来的是一系列新的安全问题。应用可能很容易构建，却很难保证安全——尤其是当 AI 同样可以被用来攻击它们的时候。 “我的核心观点是：vibe coding 本身并不坏，因为业余爱好者也能构建软件。这其实是好的一面。”AI 驱动的网络安全公司 SentinelOne 的杰出 AI 研究科学家 Gabriel Bernadett-Shapiro 表示。 他说，危险在于当个人应用悄悄滑向商业软件的范畴，存储共享的、托管的数据，而没有人意识到这种转变已经发生。他还指出，当 vibe coding 从本地应用（比如跟踪偏头痛、餐食或包裹递送）转向处理客户日志、医疗数据、财务记录或内部文档的应用时，其安全考量就会完全不同。 “这些应用需要遵循不同的标准。即使它是一个人花一个下午构建的，即使创建它的软件本身很简单。一旦它触及他人的个人数据，我认为标准就变了。” Jack Cable 是 Corridor（一款专为 AI 原生软件开发构建的安全平台）的 CEO 兼联合创始人，他也认同这一观点。 “vibe coding 并不坏，因为业余爱好者也能构建软件。这其实是好的一面。” Cable 说：“Vibe coding 非常适合低风险场景”，比如原型，或者不那么敏感的健身追踪器。但他表示，财务记录应该受到更严格的审视，任何放在公共互联网上的东西也是如此。“你在那里暴露了自己或他人的数据吗？”他问。“要仔细思考威胁模型是什么，如果你不确定自己在做的事情是否安全，宁可安全也不要后悔。” 这正是加密钱包公司 Privy 首席运营官 Max Segall 所做的。他用 vibe-code 做了一个叫 EzRun 的小应用，作为每次和儿子一起跑步时奖励他 10 美元以太坊的趣味方式。幸运的是，一位同事在上线前发现了一个关键漏洞，这个漏洞本可能让任何人通过修改用户账户来获得访问权限。 在 1 月底一个更令人担忧且备受关注的案例中，开发者 Matt Schlicht 发布了一款名为 Moltbook 的病毒式社交网络。它完全为 AI 代理构建，而 Schlicht 没有写一行代码（https://x.com/MattPRD/status/2017386365756072376）。几天之内，安全公司 Wiz 的研究人员就发现，该应用的整个生产数据库处于完全开放状态（https://www.wiz.io/blog/exposed-moltbook-database-reveals-millions-of-api-keys），暴露了数万个电子邮件地址和私人消息。Moltbook 在被告知后很快修补了漏洞，但这并非孤立事件。据 *Wired* 报道，网络安全公司 Red Access 的研究人员发现，大约有 5000 个使用流行 vibe-coding 工具构建的公开可访问应用（https://www.wired.com/story/thousands-of-vibe-coded-apps-expose-corporate-and-personal-data-on-the-open-web/）没有身份验证，其中近 2000 个似乎正在泄露敏感数据，如医疗和财务信息、战略文档，甚至聊天机器人对话日志。 公平地说，大量由专业人士在 AI 之前构建的软件同样存在严重的安全问题。但正如 vibe coding 成倍增加了应用数量一样，安全风险的数量也可能急剧上升。它还增加了过度自信的风险。当 AI 工具告诉你代码是安全的，你很容易相信它。 “如果你不确定自己在做的事情是否安全，宁可安全也不要后悔。” 而在典型的 vibe-coding 过程中，如果没有安装专门的安全检查工具（大多数随意编码者并没有安装），就没有任何东西会自动停下来检查。构建会一直继续。现有的安全工具需要手动调用。虽然 Claude Code 有一个 /security-review 命令可以扫描漏洞，但你需要要求它这样做。它也有自动版本，但前提是你事先设置好（https://claude.com/blog/automate-security-reviews-with-claude-code）在拉取请求时运行（https://support.claude.com/en/articles/11932705-automated-security-reviews-in-claude-code），而这恰恰是大多数随意构建者不会去做的事。 OpenAI 自己的编码代理 Codex 内置了一个安全代理 Codex Security，它会在提交落地时进行扫描，并重新扫描自己提出的补丁，但它的目标用户是拥有真实版本控制工作流程的开发者，而不是那些和 AI 聊着天就把应用变出来的人。对其他所有人来说，结论很简单：在构建时就要提前提示安全，最后还要再提示一遍，尤其是当工具可以访问你关心的数据时。 “很多安全都是情景化的，”Cable 说，所以运行编程代理自己的审查肯定不会有害，但他提醒不要因此产生虚假的安全感，尤其是当代理不理解你的威胁模型，或者你没有给它正确的指导时。 Bernadett-Shapiro 说，他最担心的不是有漏洞的 AI 生成代码，而是缺乏身份验证。当开发者将一个本地运行的应用迁移到云端，并配置了一堆他们自己都不理解的选项时，他们可能不会想到身份验证的问题，从而导致敏感数据暴露。这是他最担心的失败，而且理由充分：在本地运行良好的应用一旦放到云端，就像把一盒秘密放在人行道上一样——研究人员一直在发现这种情况。 AI 在被提示时很擅长发现漏洞。模型在这方面已经有了改进，比如 Mythos（同 Anthropic 的模型，曾因轻易发现攻击漏洞而拉响警报），它同样可以用来加固 vibe coder 正在构建的应用。Bernadett-Shapiro 说，GPT-5.5-Cyber，甚至其他应用程序的基础模型，都可以评估应用的安全性并识别出即使是有经验的开发者也可能忽略的问题。当然，他指出，人们可能不理解他们所做的安全权衡，甚至可能将警告视为可接受的风险而忽视。 “很多安全都是情景化的。” 一些基础架构已经开始出现。许多 Web 安全标准背后的非营利组织 OWASP 发布了一套 AI 安全验证标准（https://github.com/OWASP/AISVS），主要面向组织。像 Trail of Bits 这样的公司已经开始发布“技能包”——附加的指令包，将编程代理引导到特定的安全任务上，比如在发布前标记不安全的默认设置或硬编码密码。Cable 说，技能包需要被专门触发，因此它们不太能自然地融入开发流程，而且很难在编程代理之间以及随着代码库的变化保持更新和同步。 此外，技能包可能是一把双刃剑，因为恶意技能包也同样存在。 2 月，1Password 的 Jason Meller 检查了一个流行的 OpenClaw 技能注册表中下载量最高的技能包，发现它指导用户安装一个最终被证明是恶意的依赖项（https://www.anrdoezrs.net/links/8836598/type/dlg/https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface）。那里仍然是一片狂野西部，很难判断一个技能包是会加固你的应用，还是会把你的凭证拱手交给攻击者。 不安全 vibe-code 应用的潜在问题并不仅限于业余爱好者。Cable 说，大公司的工程师甚至销售和营销团队现在也在比以前更多地发布由代理编写的代码。安全团队需要具备对代理使用方式的基线可见性，他说，还需要通过技能包或像 Corridor 这样的产品来强制执行安全护栏，这些产品旨在代码被写出之前就阻止缺陷。 对于个人用户，Cable 的建议要简单得多：要意识到在本地计算机上运行的模型远比公开的模型风险低，尤其是在包含敏感数据的情况下。 “几乎一夜之间，大多数公司生产软件的方式彻底改变了，”Cable 说。他认为只要给予编程代理合适的操作护栏，他并不特别担心它们本身。模型本身越来越多地建立在内存安全的堆栈上，从根本上消除了整个类别的漏洞。“我确实认为我们有理由保持乐观，”他说。 政府事务专员 Jeff Rothblum 用 vibe-code 开发了一个应用，用来处理大量繁琐的数据录入工作，同时将安全因素考虑在内。他思考了应用存储什么信息、这些信息有多敏感，以及如果泄露会有什么后果。这种方法之所以引人注目，是因为它十分罕见，也因为我们脚下的基础正在飞速变化。 在担任 Lilt 政府事务与战略主管期间，他必须向各种政府委员会提交输入表格，以便将想法列入拨款法案。没有两份表格是相同的，因此游说者可能在六周内提交数十甚至数百份独特的表格。在经历了八周每周 75 小时的工作以及一次裁员之后，他构建了一个工具，以防自己再次需要做这些工作。这是一个应用，可以将链接和截止日期抓取到一个单一仪表板中，并使用 LLM 预填每个表格，这样用户只需在提交前进行审核和编辑（并粘贴一个账户号码）即可。 用 vibe-code 开发你梦想的应用，但要仔细思考应用存储和访问了什么数据，以及可能出现什么问题。 他非常清楚风险，因为他自己没有编写代码。“我上次写代码可能还是 2006 年本科时，作为航空航天工程师用 Fortran 分析流体流动，”Rothblum 告诉 *The Verge*。最大的风险是公司可能无意中泄露战略或敏感的游说理由，这些信息即使在申报材料公开时也是保密的。他正在通过定期在 Claude 中运行安全审查、将用户数据保留在本地而非服务器上，以及建立更严格的数据保留防护措施来降低这种风险。 他用 vibe-code 让应用在关闭后清除浏览器，并明确告知用户该页面会将数据发送给 Claude，同时链接到其保留政策。他正在开发一个版本，用户输入的任何内容都不会被 AI 存储（即使是短暂的），以及另一个单独的版本，允许用户通过自己的 LLM 而非他的 Claude 实例来路由所有内容。 虽然 Rothblum 考虑过构建一个更广泛的游说情报工具，但他表示，如果开始处理更敏感的数据，他打算花四到五位数美元聘请一名真正的安全工程师来审查他的代码。“开源的东西我很满意，临时性的东西我也放心，但其他所有东西都让我有点害怕，”他说。 让人类专家审查代码是理想的做法，但 Cable 表示这正在成为一个瓶颈。他说，悬而未决的问题是，当大多数代码在没有经过任何人阅读的情况下发布时，世界会变成什么样，以及我们如何保护那个世界。 目前，对我们其他人来说，答案更小、更触手可及：用 vibe-code 开发你梦想的应用，但要想清楚应用存储和访问了什么数据，以及可能出现什么问题。要求它从一开始就将安全考虑在内，并在每次更改后运行代码审查，包括 AI 自己编写的补丁。在将其从自己的设备迁移到云端，或允许其访问任何敏感数据或账户之前，要格外留意。一个有趣的项目和一个恐怖故事之间的区别，始于知道该问什么问题。 **关注本故事的主题和作者**，以便在个性化首页信息流中查看更多类似内容，并接收邮件更新。 - Yael Grauer