38 万应用暴露、2000+应用泄密！AI 编程把“内网”变公网

📌 一句话摘要

以色列安全公司 RedAccess 研究发现，使用 Lovable、Replit 等 AI 编程工具创建的约 38 万个应用中，近 2000 个因缺乏安全防护而暴露了医疗、财务等敏感数据，将企业内网数据直接暴露在公网。

📝 详细摘要

本文报道了以色列安全公司 RedAccess 的一项研究发现，揭示了 AI 编程工具（Vibe Coding）带来的严重数据泄露风险。研究人员发现，使用 Lovable、Replit、Base44 和 Netlify 等工具创建的约 38 万个可公开访问的应用中，超过 5000 个几乎没有安全机制或身份验证，其中近 2000 个暴露了私密数据，包括医疗记录、财务数据、企业战略文件和聊天记录。问题根源在于这些平台的默认设置让应用处于公开状态，且非技术背景的「公民开发者」在创建应用时缺乏安全意识，绕过了企业原有的安全审查流程。文章还引用了 Gartner 的预测，指出到 2028 年，这种 prompt-to-app 方式将使软件缺陷数量增加 2500%。各平台回应称应用公开可访问是用户配置选择，而非平台漏洞。

💡 主要观点

1. AI 编程工具创建的应用普遍缺乏安全防护，导致大量敏感数据泄露。 RedAccess 研究发现约 38 万个公开应用中，近 2000 个暴露了医疗、财务、企业战略等私密数据，40% 的应用存在敏感数据暴露问题。
2. 问题根源在于平台默认公开设置和「公民开发者」缺乏安全意识。 多个 Vibe Coding 平台默认将应用设为公开，且非技术背景的用户在创建应用时不会考虑访问控制和安全策略，绕过了企业原有的开发和安全审查流程。
3. AI 生成代码在语法正确但缺乏系统架构理解，导致深层上下文错误。 Gartner 预测到 2028 年，prompt-to-app 方式将使软件缺陷增加 2500%，这些缺陷在语法上正确但缺乏对整体架构和复杂业务规则的理解。

💬 文章金句

• vibe coding 工具正在泄露大量个人和企业数据。
• 公司里的任何人，随时都可以生成一个应用，而且完全不需要经过任何开发流程或安全检查。
• AI 编码工具会按照你的要求去做，但如果你没有要求它以安全的方式去做，它也不会主动这么做。
• AI 生成的代码在语法上是正确的，但缺乏对整体系统架构和复杂业务规则的理解。

📊 文章信息

阅读完整文章