2026-05-09 13:05
扫码打开虎嗅APP
本文来自微信公众号: AI前线 ,作者:华卫,原文标题:《38万应用暴露、2000+应用泄密!AI编程把“内网”变公网》
“vibe coding工具正在泄露大量个人和企业数据。”近日,以色列一家网络安全初创公司RedAccess的研究人员在研究“影子AI”(shadow AI)趋势时发现,开发者用来快速开发软件的AI工具让医疗记录、财务数据和财富500强内部文件都泄露到了开放网络上。
RedAccess的CEO Dor Zvi表示,研究人员发现约38万个可公开访问的应用和其他资产,这些都是开发者使用Lovable、Base44、Netlify和Replit等工具创建的,其中约有5000个包含敏感的企业信息,但近2000个应用在进一步检查后似乎暴露了私密数据。Axios独立验证了多个暴露应用,WIRED也分别确认了这些发现。
甚至还有管理员权限
随着AI日益接管现代程序员的工作,网络安全领域早已警告:自动化编码工具势必会在软件中引入一大批可被利用的漏洞。然而,当这些vibe coding工具让任何人只需点击一下就能创建并托管在网页上的应用时,问题就不仅仅是漏洞了,而是几乎完全没有任何安全防护,包括高度敏感的企业和个人数据。
据了解,RedAccess团队对使用Lovable、Replit、Base44和Netlify等AI软件开发工具创建的数千个vibe coding网页应用进行了分析,发现其中超过5000个几乎没有任何安全机制或身份验证。许多这样的网页应用,只要有人获取到其URL,就可以直接访问应用及其数据。还有一些虽然设置了门槛,但也极其简单,比如只需用任意邮箱地址注册即可访问。
在这5000个任何人只需在浏览器中输入URL就能访问的AI编码应用中,Zvi发现近2000个在进一步检查后似乎暴露了私密数据。Zvi表示,大约40%的应用暴露了敏感数据,包括医疗信息、金融数据、企业演示文稿和战略文件,以及用户与聊天机器人对话的详细记录。
他分享的网页应用截图(其中一些已被核实仍在线且处于暴露状态)显示,包括某医院的工作分配信息(含医生的个人身份信息)、某公司的详细广告采购数据、另一家公司的市场进入战略演示文稿、一家零售商的聊天机器人完整对话记录(包含客户的全名和联系方式)、一家航运公司的货运记录,以及来自多家公司的各类销售和财务数据。Zvi还表示,在某些情况下,这些暴露的应用甚至可能让他获得系统的管理员权限,甚至删除其他管理员。
Zvi表示,RedAccess在搜寻存在漏洞的网页应用时出奇地容易。Lovable、Replit、Base44和Netlify都允许用户将网页应用托管在这些AI公司的自有域名上,而不是用户自己的域名。因此,研究人员只需在Google和Bing上,通过这些公司的域名配合其他关键词进行简单搜索,就能识别出数千个使用这些工具进行vibe coding开发的应用。
在Lovable的案例中,Zvi还发现了大量仿冒大型企业的钓鱼网站,这些网站看起来是通过该AI编码工具创建并托管在Lovable域名上的,包括美国银行(Bank of America)、Costco、FedEx、Trader Joe’s和麦当劳等品牌。Zvi还指出,Red Access发现的5000个暴露应用仅托管在AI编码工具自身域名上,实际上可能还有成千上万的应用是托管在用户自购的域名上。
安全研究员Joel Margolis指出,要验证某个未受保护的AI编码网页应用中是否真的暴露了真实数据,其实并不容易。他和同事此前曾发现一款AI聊天玩具,在一个几乎没有安全防护的网站上暴露了5万条与儿童的对话记录。他表示,vibe coding应用中的数据可能只是占位符,或者应用本身只是一个概念验证(POC)。Wix的Brodie也认为,提供给Base44的两个示例看起来像测试站点或包含AI生成的数据。
尽管如此,Margolis认为,AI构建的网页应用导致数据暴露的问题确实非常现实。他表示,自己经常遇到Zvi所描述的这类暴露情况。“市场团队里有人想做个网站,他们不是工程师,可能也几乎没有安全背景或知识。”他指出,AI编码工具会按照你的要求去做,但如果你没有要求它以安全的方式去做,它也不会主动这么做。
在RedAccess的研究发布前不到两周,还发生了一起事件:运行Claude Opus 4.6模型的Cursor通过一次对基础设施提供商Railway的API调用,在9秒内删除了PocketOS的整个生产数据库及所有卷级备份。
Zvi直言不讳地表示,“人们可以随意创建某个东西,然后直接在生产环境中使用,代表公司去用,甚至不需要获得任何许可,这种行为几乎没有边界。我不认为可以让全世界都接受安全教育。”他还补充说,他的母亲也在用Lovable进行vibe coding,“但我不认为她会考虑基于角色的访问控制”。
RedAccess研究人员发现,多个vibe coding平台的隐私设置默认让应用处于公开状态,除非用户手动将其改为私密。许多此类应还会被Google等搜索引擎收录,任何上网的人都有可能无意中访问到它们。
Zvi认为,如今AI网页应用开发工具正在制造新一波数据暴露,其根源同样是用户错误与安全防护不足的叠加。但比具体某个安全缺陷更根本的问题在于,这些工具让组织内部一类全新的人群可以创建应用,他们往往缺乏安全意识,而且绕过了企业原有的软件开发流程和上线前的安全审查机制。
“公司里的任何人,随时都可以生成一个应用,而且完全不需要经过任何开发流程或安全检查,人们可以在没有征求任何人意见的情况下,直接把它用在生产环境中。而他们确实就是这么做的。”Zvi说道,“最终的结果就是,企业实际上正在通过这些vibe coding应用泄露私密数据,这是有史以来规模最大的事件之一,人们将企业或其他敏感信息暴露给了全世界任何人。”
去年10月,Escape.tech扫描了5600个公开的vibe coding应用,也发现其中超过2000个存在高危漏洞,超过400个暴露的敏感信息(包括API密钥和访问令牌),以及175起涉及个人数据泄露的案例(包括医疗记录和银行账户信息)。Escape发现的所有漏洞都存在于真实的生产系统中,并且可以在数小时内被发现。今年3月,该公司完成了由Balderton领投的1800万美元A轮融资,其核心投资逻辑之一正是AI生成代码带来的安全缺口。
Gartner在《2026年预测》报告中指出,到2028年,由“公民开发者”采用的prompt-to-app(提示生成应用)方式,将使软件缺陷数量增加2500%。Gartner认为,这类缺陷的一大新特征是:AI生成的代码在语法上是正确的,但缺乏对整体系统架构和复杂业务规则的理解。修复这些“深层上下文错误”的成本,将侵蚀原本用于创新的预算。
目前,有三家AI编码公司对RedAccess研究人员的说法提出异议,称对方分享的信息不够充分,也没有给予足够时间来回应。但Zvi表示,对于几十个暴露的网页应用,他们主动联系了应用的疑似所有者。各家公司高管均表示,他们严肃对待此类报告,同时指出这些应用公开可访问,并不必然意味着存在数据泄露或安全漏洞。不过,这些公司也并未否认RedAccess所发现的网页应用确实处于公开暴露状态。
Replit的CEO Amjad Masad表示,RedAccess在披露之前,只给了他们24小时的响应时间。他在X上的回应中写道,“根据他们分享的有限信息,RedAccess的核心指控似乎是:一些用户把本应私密的应用发布到了开放的互联网,Replit允许用户自行选择应用是公开还是私密。公开应用可以在互联网上被访问,这是预期行为。隐私设置也可以随时通过一次点击进行更改。如果Red Access共享受影响用户名单,我们将主动将这些应用默认为私密,并直接通知用户。”
Lovable的一位发言人在声明中回应称,“Lovable非常重视关于数据暴露和钓鱼网站的报告,我们正在积极获取所需信息以展开调查。目前此事仍在持续处理中。同时也需要指出,Lovable为开发者提供了安全构建应用的工具,但应用如何配置,最终责任在于创建者本人。”
在此前公开的CVE-2025-48757中,记录了Lovable生成的Supabase项目中存在行级安全(Row-Level Security)策略不足甚至缺失的问题。一些查询完全跳过了访问控制检查,导致170多个生产环境应用的数据被暴露。AI负责生成了数据库层,却没有生成本应限制数据访问的安全策略。Lovable对该CVE分类提出异议,称保护应用数据是客户自身的责任。
Base44母公司Wix的公关负责人Blake Brodie在声明中表示:“Base44为用户提供了强大的工具来配置其应用的安全性,包括访问控制和可见性设置。”她补充说,“关闭这些控制是一个有意且简单的操作,任何用户都可以做到。如果应用是公开可访问的,那反映的是用户的配置选择,而不是平台漏洞。”
Brodie还指出,“伪造看似包含真实用户数据的应用非常容易。在没有向我们提供任何经过验证的案例的情况下,我们无法评估这些指控的真实性。”对此,RedAccess反驳称,他们确实向Base44提供了相关示例。RedAccess还分享了若干匿名沟通记录,显示Base44用户感谢研究人员提醒其应用存在暴露问题,随后这些应用被加固或下线。
据了解,Wiz Research在去年7月曾独立发现,Base44存在一个平台级的身份验证绕过漏洞。暴露的API接口允许任何人仅凭一个公开可见的app_id,就能在私有应用中创建“已验证账户”。这一漏洞相当于:站在一栋上锁的大楼门口,只要喊出一个房间号,就能让门自动打开。Wix在Wiz报告后24小时内修复了该漏洞,但这一事件暴露出一个问题:在这些平台上,数百万应用由用户创建,而用户往往默认平台已经替他们处理了安全问题,但实际的认证机制却非常薄弱。
参考链接:
https://www.wired.com/story/thousands-of-vibe-coded-apps-expose-corporate-and-personal-data-on-the-open-web/
https://www.axios.com/2026/05/07/loveable-replit-vibe-coding-privacy
https://venturebeat.com/security/vibe-coded-apps-shadow-ai-s3-bucket-crisis-ciso-audit-framework
