数千个“氛围编程”应用将企业和个人数据暴露在开放网络上

随着人工智能日益接管现代程序员的工作， 网络安全领域一直警告 ，自动化编码工具势必会给软件带来大量可被黑客利用的新漏洞。然而，当这些同样的“氛围编码”工具让任何人都能一键创建并托管在网上的应用程序时，事实证明，其安全影响已不只是漏洞问题，而是完全没有任何安全防护——有时甚至涉及高度敏感的企业和个人数据。

安全研究员 Dor Zvi 及其与人共同创立的网络安全公司 RedAccess 团队，分析了数千个使用 AI 软件开发工具 Lovable、Replit、Base44 和 Netlify 创建的氛围编码网页应用，发现其中有 5000 多个几乎完全没有任何形式的安全防护或认证机制。这些网页应用中，许多只要有人找到其网址，就能访问应用及其数据。另一些则仅设置了极其简单的访问门槛，例如要求访客用任意电子邮件地址登录。Zvi 表示，约 40% 的应用暴露了敏感数据，包括医疗信息、财务数据、企业演示文稿和策略文件，以及顾客与聊天机器人对话的详细日志。

Zvi 说：“最终结果是，各组织实际上正通过氛围编码应用泄露私人数据。这是有史以来规模最大的事件之一，人们将企业或其他敏感信息暴露给了全世界任何人。”

Zvi 表示，RedAccess 对存在漏洞的网络应用进行搜寻时，过程出奇地简单。Lovable、Replit、Base44 和 Netlify 都允许用户将其网络应用托管在这些 AI 公司自己的域名下，而非用户自己的域名。因此，研究人员只需在 Google 和 Bing 上针对这些 AI 公司的域名进行简单搜索，并结合其他搜索词，就识别出了数千款使用这些公司工具通过“氛围编码”开发的应用。

Zvi 表示，在他所说的 5000 个任何人只需在浏览器中输入网址即可公开访问的 AI 编写应用中，他发现近 2000 个在进一步检查后似乎泄露了私人数据：他向《WIRED》分享的网页应用截图——其中《WIRED》核实有数个当时仍可在线访问且处于暴露状态——显示的内容似乎包括一家医院的工作分配信息及医生的个人身份识别信息、一家公司的详细广告采购信息、另一家企业的市场进入策略演示、一家零售商聊天机器人与客户对话的完整记录（其中包括客户的全名和联系方式）、一家配送公司的货运记录，以及来自其他多家公司的各类销售和财务记录。Zvi 称，在某些情况下，他发现这些暴露的应用本可让他获得系统的管理员权限，甚至移除其他管理员。

就 Lovable 而言，Zvi 表示，他还发现了大量仿冒大型企业的网络钓鱼网站案例，包括 Bank of America、Costco、FedEx、Trader Joe’s 和 McDonald’s。这些网站似乎是利用该 AI 编码工具创建，并托管在 Lovable 的域名下。

当 WIRED 就 RedAccess 的发现向这四家 AI 编码公司询问时，Netlify 没有回应，而另外三家公司则对研究人员的说法提出异议，抗议称对方没有分享足够多的发现细节，也没有给他们足够时间作出回应。（RedAccess 表示，其已于周一联系这些公司。）不过，他们并未否认 RedAccess 发现的网络应用处于暴露状态。

“根据他们分享的有限信息，[RedAccess] 的核心说法似乎是，一些用户将本应设为私密的应用发布到了开放网络上，”Replit 首席执行官 Amjad Masad 在 X 上的一篇回应帖文中写道，“Replit 允许用户自行选择应用是公开还是私密。公开应用可在互联网上被访问，这是预期行为。隐私设置可随时一键更改。”

Lovable 一位发言人在声明中回应称：“Lovable 严肃对待有关数据暴露和钓鱼网站的报告，我们正积极获取开展调查所需的信息。我们将此视为一项仍在持续处理的事项。还值得指出的是，Lovable 为构建者提供了安全构建的工具，但应用如何配置最终是创建者的责任。”

Base44 母公司 Wix 公共关系主管 Blake Brodie 在一份声明中写道：“Base44 为用户提供了强大的工具，以配置其自身应用的安全性，包括访问控制和可见性设置。”她补充说：“关闭这些控制是一项有意且直接的操作，任何用户都可以这样做。若应用可被公开访问，那反映的是用户的配置选择，而非平台漏洞。”

Brodie 还指出：“伪造看似包含真实用户数据的应用极其容易。在没有向我们提供任何一个经过核实的案例的情况下，我们无法评估这些说法的真实性。”而 RedAccess 则对此提出异议，称其并非没有向 Base44 提供示例。

兹维指出，对于数十个暴露在外的网络应用，RedAccess 甚至进一步联系了这些应用表面上的所有者，而对方证实数据确实已经泄露。RedAccess 还向 WIRED 分享了数起经过匿名处理的沟通记录，显示 Base44 用户感谢研究人员提醒他们注意这些暴露在外的网络应用，随后这些应用已被加固或下线。

安全研究员乔尔·马戈利斯表示，要核实某个特定、未受保护的 AI 编写网络应用是否真的泄露了真实数据，可能颇具难度。马戈利斯最近与一位同事发现，一款 AI 聊天玩具曾在一个几乎毫无安全防护的网站上泄露了 5 万段该玩具与儿童之间的对话 。他说，vibe-coded 网络应用中的数据可能只是占位内容，或者该应用本身可能仅仅是一个概念验证。Wix 的布罗迪则辩称，WIRED 与 Base44 分享的两个案例看起来确实像是测试网站，或者其中的数据是由 AI 生成的。

对于 WIRED 审查的这些网络应用，我们无法确认其中的个人或企业数据是否如表面看来那样敏感，甚至是否真实存在。

不过，Margolis 表示，AI 构建的网络应用暴露数据的问题确实非常真实存在。他说，自己经常会遇到 Zvi 所记录的那类数据暴露情况。“营销团队里有人想创建一个网站。他们不是工程师，可能几乎没有任何安全背景或相关知识，”Margolis 说。他表示，AI 编码工具“会按照你的要求去做。而如果你没有要求它们以安全的方式去做，它们就不会主动额外这么做。”

兹维指出，Red Access 发现的 5000 个暴露应用，仅限于托管在这些 AI 编程工具自有域名上的应用，而很可能还有数千个托管在用户自行购买的域名上。他将企业缺乏安全防护的 AI 编写网页应用持续引发的数据泄露潮，比作早些年由 Amazon S3 存储桶安全设置所造成的暴露数据“流行病”。从 Verizon 到 World Wrestling Entertainment，不少公司都因其 Amazon 云存储服务实例配置错误，意外暴露了大量敏感数据。不过，网络安全行业中也有不少人将部分责任归咎于 Amazon，认为其令人困惑的安全设置导致大量客户反复犯下同样的错误。

Zvi 表示，AI 网页应用编码工具如今正引发一波数据暴露，其成因同样是用户失误与缺乏防护措施交织所致。不过，他认为，比起 AI 编码公司在安全方面的某项具体失误，更根本的问题在于，这些工具让组织内部一类新的人群能够创建应用——而他们往往几乎没有安全意识，也游离于企业在应用发布前通常用来审查软件的常规开发流程之外。

“你们公司里的任何人都可以在任何时候生成一个应用，而这根本不会经过任何开发周期或任何安全检查，”Zvi 说，“人们无需征求任何人的许可，就可以直接在生产环境中开始使用它。而他们也确实这么做了。”