数千个“氛围编程”应用泄露敏感数据

《连线》杂志最近的一项调查揭示了一场席卷软件开发领域的令人不安的安全危机：数千个使用 Lovable 和 Replit 等 AI 驱动的“氛围编程”平台构建的应用，正在将高度敏感的企业和个人数据泄露到公共互联网上。“氛围编程”一词指的是使用自然语言提示来生成整个应用程序，而人工监督极少。虽然这种方法使软件创建民主化，让非程序员也能快速构建功能应用，但它也导致了广泛且危险的安全疏忽。 调查显示，许多此类 AI 生成的应用包含硬编码的数据库凭证、暴露的 API 密钥以及不安全的存储桶，所有这些都很容易被自动扫描器和恶意行为者发现。根本原因有两个：首先，生成代码的 AI 模型通常优先考虑功能而非安全性，未能实施环境变量或访问控制等基本安全措施。其次，这些平台的用户（其中许多人缺乏正规编程培训）不了解其选择的安全隐患。他们可能没有意识到，嵌入在前端代码中的 API 密钥对任何检查页面的人都是可见的。 问题的规模令人震惊。《连线》杂志的研究人员发现了数千个暴露的独特数据库和云存储实例，其中包含从客户姓名和电子邮件地址到内部公司文件和财务记录的各种信息。一些泄露的数据属于那些使用“氛围编程”快速制作内部工具原型，却无意中将整个后端暴露在互联网上的初创公司和小型企业。这些平台提供的便捷部署意味着，一个粗心的提示就可能在几分钟内将关键漏洞推送到生产环境。 这种情况凸显了 AI 辅助开发中的一个根本性矛盾。