AI编程安全漏洞致38万应用暴露 内网数据泄露风险激增

最近网络安全圈里有个事儿，讨论热度不低。简单来说，就是那些号称能让“人人都是开发者”的AI编程工具，正在悄无声息地制造一场大规模的数据泄露危机。这可不是危言耸听，而是有实实在在的研究和数据支撑。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

以色列网络安全初创公司RedAccess在研究“影子AI”趋势时，发现了一个令人不安的现象。开发者们用来快速构建软件的所谓“氛围编程”（vibe coding）工具，正把大量本应私密的医疗记录、财务数据，甚至财富500强公司的内部文件，直接“晾”在了开放的互联网上。

40% AI 编码应用暴露敏感数据，甚至还有管理员权限

AI接管程序员的部分工作，这已经不是新闻。安全专家们早就敲过警钟：自动化编码工具很可能会给软件引入一大批可利用的漏洞。但眼下的问题，似乎比预想的“漏洞”更直接、更赤裸。

当这些工具宣称“点击一下就能创建并托管网页应用”时，它们带来的不仅仅是潜在的代码缺陷，更可能是一种近乎“裸奔”的状态——应用本身几乎没有任何安全防护，里面存储的高度敏感数据，就这么门户大开。

RedAccess的团队对使用Lovable、Replit、Base44和Netlify等工具创建的数千个网页应用进行了分析，结果触目惊心：超过5000个应用几乎没有任何像样的安全机制或身份验证。这意味着，任何人只要拿到应用的URL，就能直接访问其内容和数据。有些应用虽然设了门槛，但也形同虚设，比如随便填个邮箱就能注册进入。

在这5000个“不设防”的应用中，经过进一步检查，有近2000个确实暴露了私密数据。这个比例，大概在40%左右。泄露的信息五花八门：从医院的医生排班表（包含个人身份信息），到公司的广告采购明细、市场战略PPT；从零售客服聊天机器人的完整对话（内含客户全名和联系方式），到航运公司的货运记录，各类销售和财务数据更是屡见不鲜。

更让人捏一把汗的是，在某些极端案例中，通过这些暴露的应用，攻击者甚至可能获取系统的管理员权限，执行删除其他管理员等高危操作。这已经不是简单的数据泄露，而是直接威胁到了系统控制权。

那么，发现这些“裸奔”应用难吗？答案出乎意料的简单。因为这些AI编码平台通常允许用户将应用直接托管在平台自己的域名下。研究人员只需要在谷歌或必应上，用这些平台的域名配合特定关键词搜索，就能轻松揪出成千上万个由这些工具生成的应用。在Lovable的案例中，研究人员甚至还发现了大量仿冒美国银&行、Costco、联邦快递等知名品牌的钓鱼网站，它们同样是通过该工具创建并托管在其域名上的。

当然，这里需要一点冷静的思考。安全研究员Joel Margolis指出，要百分百确认一个未受保护的应用里是不是真实数据，有时并不容易。里面的数据可能是占位符，或者整个应用只是个概念验证demo。但Margolis也承认，AI构建的网页应用导致真实数据暴露，已经是一个普遍且严峻的现实问题。问题的核心在于，使用这些工具的往往是市场、运营等非技术部门的“公民开发者”，他们缺乏安全背景，AI工具只会机械地执行“创建应用”的指令，却不会主动提醒你“该加把锁了”。

“人们可以随意创建”但默认设置出了问题

就在RedAccess发布这份报告前不到两周，还发生了一起颇具警示意义的事件：运行着Claude Opus 4.6模型的Cursor工具，通过对基础设施提供商Railway的一次API调用，在短短9秒内就删除了PocketOS的整个生产数据库及其所有备份。效率高得可怕，破坏力也大得惊人。

这恰恰印证了RedAccess CEO Dor Zvi的担忧：“人们可以随意创建某个东西，然后直接用在生产环境里，代表公司去用，甚至不需要获得任何许可。”他举了个更生活化的例子——他的母亲也在用Lovable做开发，“但我不认为她会考虑基于角色的访问控制这种问题”。

研究发现，多个“氛围编程”平台的隐私设置，默认就是将应用设为“公开”状态，除非用户手动将其调整为“私密”。更糟糕的是，许多这类公开应用还会被搜索引擎收录，这意味着任何一个上网的人，都可能无意间撞进这些装满敏感数据的“开放房间”。

说到底，这波由AI网页开发工具引发的新数据泄露潮，根源依然是老生常谈的“用户错误”与“安全防护不足”的双重叠加。但这次有个根本性的不同：这些工具绕过了企业传统的软件开发流程和安全审查关卡，让组织内部任何一个人都能轻松成为“开发者”，而他们恰恰是最可能忽视安全的那群人。

“公司里的任何人，随时都可以生成一个应用，完全不需要经过任何开发流程或安全检查，就能直接把它用在生产环境中。而他们确实就是这么做的。”Zvi总结道，“结果就是，企业正在通过这些AI生成的应用泄露私密数据，其规模可能是空前的。”

事实上，这并非孤例。早在去年10月，安全公司Escape.tech扫描了5600个公开的“氛围编程”应用，就发现超过2000个存在高危漏洞，400多个暴露了API密钥等敏感信息，175个案例涉及医疗记录、银&行账户等个人数据泄露。值得注意的是，所有这些漏洞都存在于真实的生产系统，并且可能在几小时内就被攻击者发现。这家公司今年3月刚获得1800万美元的A轮融资，其核心投资逻辑之一，正是看中了AI生成代码所带来的巨大安全缺口市场。

行业分析机构Gartner在《2026年预测》报告中也发出了警告。报告预测，到2028年，由“公民开发者”采用的“提示生成应用”方式，将使软件缺陷数量激增2500%。这类缺陷有一个新特点：AI生成的代码在语法上完全正确，但它缺乏对整体系统架构和复杂业务逻辑的深层理解。未来，修复这些“深层上下文错误”的成本，恐怕会吞噬掉本该用于创新的预算。

各平台的回应与反驳

面对指控，涉事的几家AI编码公司迅速做出了回应，但态度多以反驳和质疑为主。

Replit的CEO Amjad Masad在社交平台X上回应称，RedAccess在披露前只给了他们24小时响应时间，且分享的信息有限。他强调，Replit允许用户自行选择应用是公开还是私密，公开应用能被互联网访问是预期行为，隐私设置也可以一键更改。他同时表示，如果收到受影响用户名单，他们会主动将这些应用默认为私密并通知用户。

Lovable的一位发言人则通过声明表示，他们非常重视关于数据暴露和钓鱼网站的报告，正在积极调查。但声明也话锋一转，指出Lovable为开发者提供了安全构建应用的工具，而“应用如何配置，最终责任在于创建者本人”。

值得一提的是，在早前公开的一个安全漏洞（CVE-2025-48757）记录中，就提到Lovable生成的Supabase项目存在行级安全策略不足或缺失的问题，导致170多个生产环境应用数据暴露。当时，Lovable对该漏洞的分类提出了异议，并再次强调保护应用数据是客户自身的责任。

Base44的母公司Wix，其公关负责人Blake Brodie的声明也遵循了类似的逻辑。她表示Base44为用户提供了强大的安全配置工具，包括访问控制和可见性设置。“关闭这些控制是一个有意且简单的操作。如果应用公开可访问，那反映的是用户的配置选择，而不是平台漏洞。”她还质疑RedAccess提供的案例真实性，认为伪造包含真实数据的应用非常容易。

对此，RedAccess反驳称他们确实向Base44提供了示例，并分享了一些匿名沟通记录，显示有Base44用户在接到提醒后，加固或下线了存在暴露问题的应用。

这场争论的背后，其实暴露了一个更深层的矛盾。去年7月，Wiz Research曾独立发现Base44存在一个平台级的身份验证绕过漏洞，允许攻击者仅凭一个公开的app_id就在私有应用中创建“已验证账户”。Wix在24小时内修复了该漏洞，但此事揭示了一个残酷现实：数百万用户默认平台已为他们处理好了安全问题，而平台实际的认证机制却可能非常薄弱。当便捷性成为最大卖点，安全往往就成了那个被默认牺牲的选项。

参考链接：

https://www.wired.com/story/thousands-of-vibe-coded-apps-expose-corporate-and-personal-data-on-the-open-web/

https://www.axios.com/2026/05/07/loveable-replit-vibe-coding-privacy

https://venturebeat.com/security/vibe-coded-apps-shadow-ai-s3-bucket-crisis-ciso-audit-framework