“vibe coding 工具正在泄露大量个人和企业数据。”近日,以色列一家网络安全初创公司 RedAccess 的研究人员在研究“影子 AI”(shadow AI)趋势时发现,开发者用来快速开发软件的 AI 工具让医疗记录、财务数据和财富 500 强内部文件都泄露到了开放网络上。
RedAccess 的 CEO Dor Zvi 表示,研究人员发现约 38 万个可公开访问的应用和其他资产,这些都是开发者使用 Lovable、Base44、Netlify 和 Replit 等工具创建的,其中约有 5000 个包含敏感的企业信息,但近 2000 个应用在进一步检查后似乎暴露了私密数据。Axios 独立验证了多个暴露应用,WIRED 也分别确认了这些发现。
40% AI 编码应用暴露敏感数据,
甚至还有管理员权限
随着 AI 日益接管现代程序员的工作,网络安全领域早已警告:自动化编码工具势必会在软件中引入一大批可被利用的漏洞。然而,当这些 vibe coding 工具让任何人只需点击一下就能创建并托管在网页上的应用时,问题就不仅仅是漏洞了,而是几乎完全没有任何安全防护,包括高度敏感的企业和个人数据。
据了解,RedAccess 团队对使用 Lovable、Replit、Base44 和 Netlify 等 AI 软件开发工具创建的数千个 vibe coding 网页应用进行了分析,发现其中超过 5000 个几乎没有任何安全机制或身份验证。许多这样的网页应用,只要有人获取到其 URL,就可以直接访问应用及其数据。还有一些虽然设置了门槛,但也极其简单,比如只需用任意邮箱地址注册即可访问。
在这 5000 个任何人只需在浏览器中输入 URL 就能访问的 AI 编码应用中,Zvi 发现近 2000 个在进一步检查后似乎暴露了私密数据。Zvi 表示,大约 40% 的应用暴露了敏感数据,包括医疗信息、金融数据、企业演示文稿和战略文件,以及用户与聊天机器人对话的详细记录。
他分享的网页应用截图(其中一些已被核实仍在线且处于暴露状态)显示,包括某医院的工作分配信息(含医生的个人身份信息)、某公司的详细广告采购数据、另一家公司的市场进入战略演示文稿、一家零售商的聊天机器人完整对话记录(包含客户的全名和联系方式)、一家航运公司的货运记录,以及来自多家公司的各类销售和财务数据。Zvi 还表示,在某些情况下,这些暴露的应用甚至可能让他获得系统的管理员权限,甚至删除其他管理员。
Zvi 表示,RedAccess 在搜寻存在漏洞的网页应用时出奇地容易。Lovable、Replit、Base44 和 Netlify 都允许用户将网页应用托管在这些 AI 公司的自有域名上,而不是用户自己的域名。因此,研究人员只需在 Google 和 Bing 上,通过这些公司的域名配合其他关键词进行简单搜索,就能识别出数千个使用这些工具进行 vibe coding 开发的应用。
在 Lovable 的案例中,Zvi 还发现了大量仿冒大型企业的钓鱼网站,这些网站看起来是通过该 AI 编码工具创建并托管在 Lovable 域名上的,包括美国银行(Bank of America)、Costco、FedEx、Trader Joe’s 和麦当劳等品牌。Zvi 还指出,Red Access 发现的 5000 个暴露应用仅托管在 AI 编码工具自身域名上,实际上可能还有成千上万的应用是托管在用户自购的域名上。
安全研究员 Joel Margolis 指出,要验证某个未受保护的 AI 编码网页应用中是否真的暴露了真实数据,其实并不容易。他和同事此前曾发现一款 AI 聊天玩具,在一个几乎没有安全防护的网站上暴露了 5 万条与儿童的对话记录。他表示,vibe coding 应用中的数据可能只是占位符,或者应用本身只是一个概念验证(POC)。Wix 的 Brodie 也认为,提供给 Base44 的两个示例看起来像测试站点或包含 AI 生成的数据。
尽管如此,Margolis 认为,AI 构建的网页应用导致数据暴露的问题确实非常现实。他表示,自己经常遇到 Zvi 所描述的这类暴露情况。“市场团队里有人想做个网站,他们不是工程师,可能也几乎没有安全背景或知识。”他指出,AI 编码工具会按照你的要求去做,但如果你没有要求它以安全的方式去做,它也不会主动这么做。
“人们可以随意创建”
但默认设置出了问题
在 RedAccess 的研究发布前不到两周,还发生了一起事件:运行 Claude Opus 4.6 模型的 Cursor 通过一次对基础设施提供商 Railway 的 API 调用,在 9 秒内删除了 PocketOS 的整个生产数据库及所有卷级备份。
Zvi 直言不讳地表示,“人们可以随意创建某个东西,然后直接在生产环境中使用,代表公司去用,甚至不需要获得任何许可,这种行为几乎没有边界。我不认为可以让全世界都接受安全教育。”他还补充说,他的母亲也在用 Lovable 进行 vibe coding,“但我不认为她会考虑基于角色的访问控制”。
RedAccess 研究人员发现,多个 vibe coding 平台的隐私设置默认让应用处于公开状态,除非用户手动将其改为私密。许多此类应还会被 Google 等搜索引擎收录,任何上网的人都有可能无意中访问到它们。
Zvi 认为,如今 AI 网页应用开发工具正在制造新一波数据暴露,其根源同样是用户错误与安全防护不足的叠加。但比具体某个安全缺陷更根本的问题在于,这些工具让组织内部一类全新的人群可以创建应用,他们往往缺乏安全意识,而且绕过了企业原有的软件开发流程和上线前的安全审查机制。
“公司里的任何人,随时都可以生成一个应用,而且完全不需要经过任何开发流程或安全检查,人们可以在没有征求任何人意见的情况下,直接把它用在生产环境中。而他们确实就是这么做的。”Zvi 说道,“最终的结果就是,企业实际上正在通过这些 vibe coding 应用泄露私密数据,这是有史以来规模最大的事件之一,人们将企业或其他敏感信息暴露给了全世界任何人。”
去年 10 月,Escape.tech 扫描了 5600 个公开的 vibe coding 应用,也发现其中超过 2000 个存在高危漏洞,超过 400 个暴露的敏感信息(包括 API 密钥和访问令牌),以及 175 起涉及个人数据泄露的案例(包括医疗记录和银行账户信息)。Escape 发现的所有漏洞都存在于真实的生产系统中,并且可以在数小时内被发现。今年 3 月,该公司完成了由 Balderton 领投的 1800 万美元 A 轮融资,其核心投资逻辑之一正是 AI 生成代码带来的安全缺口。
Gartner 在《2026 年预测》报告中指出,到 2028 年,由“公民开发者”采用的 prompt-to-app(提示生成应用)方式,将使软件缺陷数量增加 2500%。Gartner 认为,这类缺陷的一大新特征是:AI 生成的代码在语法上是正确的,但缺乏对整体系统架构和复杂业务规则的理解。修复这些“深层上下文错误”的成本,将侵蚀原本用于创新的预算。
各平台的回应与反驳
目前,有三家 AI 编码公司对 RedAccess 研究人员的说法提出异议,称对方分享的信息不够充分,也没有给予足够时间来回应。但 Zvi 表示,对于几十个暴露的网页应用,他们主动联系了应用的疑似所有者。各家公司高管均表示,他们严肃对待此类报告,同时指出这些应用公开可访问,并不必然意味着存在数据泄露或安全漏洞。不过,这些公司也并未否认 RedAccess 所发现的网页应用确实处于公开暴露状态。
Replit 的 CEO Amjad Masad 表示,RedAccess 在披露之前,只给了他们 24 小时的响应时间。他在 X 上的回应中写道,“根据他们分享的有限信息,RedAccess 的核心指控似乎是:一些用户把本应私密的应用发布到了开放的互联网,Replit 允许用户自行选择应用是公开还是私密。公开应用可以在互联网上被访问,这是预期行为。隐私设置也可以随时通过一次点击进行更改。如果 Red Access 共享受影响用户名单,我们将主动将这些应用默认为私密,并直接通知用户。”
Lovable 的一位发言人在声明中回应称,“Lovable 非常重视关于数据暴露和钓鱼网站的报告,我们正在积极获取所需信息以展开调查。目前此事仍在持续处理中。同时也需要指出,Lovable 为开发者提供了安全构建应用的工具,但应用如何配置,最终责任在于创建者本人。”
在此前公开的 CVE-2025-48757 中,记录了 Lovable 生成的 Supabase 项目中存在行级安全(Row-Level Security)策略不足甚至缺失的问题。一些查询完全跳过了访问控制检查,导致 170 多个生产环境应用的数据被暴露。AI 负责生成了数据库层,却没有生成本应限制数据访问的安全策略。Lovable 对该 CVE 分类提出异议,称保护应用数据是客户自身的责任。
Base44 母公司 Wix 的公关负责人 Blake Brodie 在声明中表示:“Base44 为用户提供了强大的工具来配置其应用的安全性,包括访问控制和可见性设置。”她补充说,“关闭这些控制是一个有意且简单的操作,任何用户都可以做到。如果应用是公开可访问的,那反映的是用户的配置选择,而不是平台漏洞。”
Brodie 还指出,“伪造看似包含真实用户数据的应用非常容易。在没有向我们提供任何经过验证的案例的情况下,我们无法评估这些指控的真实性。”对此,RedAccess 反驳称,他们确实向 Base44 提供了相关示例。RedAccess 还分享了若干匿名沟通记录,显示 Base44 用户感谢研究人员提醒其应用存在暴露问题,随后这些应用被加固或下线。
据了解,Wiz Research 在去年 7 月曾独立发现,Base44 存在一个平台级的身份验证绕过漏洞。暴露的 API 接口允许任何人仅凭一个公开可见的 app_id,就能在私有应用中创建“已验证账户”。这一漏洞相当于:站在一栋上锁的大楼门口,只要喊出一个房间号,就能让门自动打开。Wix 在 Wiz 报告后 24 小时内修复了该漏洞,但这一事件暴露出一个问题:在这些平台上,数百万应用由用户创建,而用户往往默认平台已经替他们处理了安全问题,但实际的认证机制却非常薄弱。
参考链接:
https://www.wired.com/story/thousands-of-vibe-coded-apps-expose-corporate-and-personal-data-on-the-open-web/
https://www.axios.com/2026/05/07/loveable-replit-vibe-coding-privacy
https://venturebeat.com/security/vibe-coded-apps-shadow-ai-s3-bucket-crisis-ciso-audit-framework
本文来自微信公众号“AI前线”(ID:ai-front),作者:华卫
