數千個「氛圍編碼」應用程式洩露敏感資料

《連線》雜誌最近的一項調查揭露了一場困擾軟體開發界的令人不安的安全危機：數千個使用 Lovable 和 Replit 等 AI 驅動的「氛圍編碼」平台所建立的應用程式，正在將高度敏感的企業和個人資料洩露到公共網際網路上。「氛圍編碼」一詞指的是使用自然語言提示來生成完整應用程式，而幾乎不需要人為監督的做法。雖然這種方法使軟體創作民主化，讓非程式設計師也能快速建立功能性的應用程式，但它也導致了廣泛且危險的安全疏忽。 調查顯示，許多這些 AI 生成的應用程式包含硬編碼的資料庫憑證、暴露的 API 金鑰以及不安全的儲存空間，這些都很容易被自動化掃描器和惡意行為者發現。根本原因有兩個：首先，生成程式碼的 AI 模型通常優先考慮功能性而非安全性，未能實施環境變數或存取控制等基本安全措施。其次，這些平台的使用者（其中許多人缺乏正規的程式設計訓練）並不了解其選擇所帶來的安全影響。他們可能沒有意識到，嵌入在前端程式碼中的 API 金鑰，任何檢查頁面的人都能看到。 問題的規模令人震驚。《連線》雜誌的研究人員發現了數千個獨特的資料庫和雲端儲存實例被暴露，內容從客戶姓名和電子郵件地址，到內部公司文件和財務記錄，應有盡有。部分洩漏的資料屬於那些使用氛圍編碼快速建立內部工具原型的新創公司和小型企業，結果卻意外地將整個後端暴露在網際網路上。這些平台提供的簡便部署方式意味著，一個粗心的提示就可能導致一個關鍵漏洞在幾分鐘內被推送至生產環境。 這種情況凸顯了 AI 輔助開發中的一個根本性矛盾。