38万应用暴露、2000+应用泄密！AI编程把“内网”变公网

整理 | 华卫 “vibe coding工具正在泄露大量个人和企业数据。”近日，以色列一家网络安全初创公司RedAccess的研究人员在研究“影子 AI”（shadow AI）趋势时发现，开发者用来快速开发软件的 AI 工具让医疗记录、财务数据和财富500强内部文件都泄露到了开放网络上。 RedAccess 的 CEO Dor Zvi 表示，研究人员发现约 38 万个可公开访问的应用和其他资产，这些都是开发者使用 Lovable、Base44、Netlify 和 Replit 等工具创建的，其中约有 5000 个包含敏感的企业信息，但近 2000 个应用在进一步检查后似乎暴露了私密数据。Axios 独立验证了多个暴露应用，WIRED 也分别确认了这些发现。 40% AI编码应用暴露敏感数据，甚至还有管理员权限 随着 AI 日益接管现代程序员的工作，网络安全领域早已警告：自动化编码工具势必会在软件中引入一大批可被利用的漏洞。然而，当这些vibe coding工具让任何人只需点击一下就能创建并托管在网页上的应用时，问题就不仅仅是漏洞了，而是几乎完全没有任何安全防护，包括高度敏感的企业和个人数据。 据了解，RedAccess 团队对使用 Lovable、Replit、Base44 和 Netlify 等 AI 软件开发工具创建的数千个vibe coding网页应用进行了分析，发现其中超过 5000 个几乎没有任何安全机制或身份验证。许多这样的网页应用，只要有人获取到其 URL，就可以直接访问应用及其数据。还有一些虽然设置了门槛，但也极其简单，比如只需用任意邮箱地址注册即可访问。 在这 5000 个任何人只需在浏览器中输入 URL 就能访问的 AI 编码应用中，Zvi 发现近 2000 个在进一步检查后似乎暴露了私密数据。Zvi 表示，大约 40% 的应用暴露了敏感数据，包括医疗信息、金融数据、企业演示文稿和战略文件，以及用户与聊天机器人对话的详细记录。 他分享的网页应用截图（其中一些已被核实仍在线且处于暴露状态）显示，包括某医院的工作分配信息（含医生的个人身份信息）、某公司的详细广告采购数据、另一家公司的市场进入战略演示文稿、一家零售商的聊天机器人完整对话记录（包含客户的全名和联系方式）、一家航运公司的货运记录，以及来自多家公司的各类销售和财务数据。Zvi 还表示，在某些情况下，这些暴露的应用甚至可能让他获得系统的管理员权限，甚至删除其他管理员。 Zvi 表示，RedAccess 在搜寻存在漏洞的网页应用时出奇地容易。Lovable、Replit、Base44 和 Netlify 都允许用户将网页应用托管在这些 AI 公司的自有域名上，而不是用户自己的域名。因此，研究人员只需在 Google 和 Bing 上，通过这些公司的域名配合其他关键词进行简单搜索，就能识别出数千个使用这些工具进行vibe coding开发的应用。 在 Lovable 的案例中，Zvi 还发现了大量仿冒大型企业的钓鱼网站，这些网站看起来是通过该 AI 编码工具创建并托管在 Lovable 域名上的，包括美国银行（Bank of America）、Costco、FedEx、Trader Joe’s 和麦当劳等品牌。Zvi还指出，Red Access发现的5000个暴露应用仅托管在AI编码工具自身域名上，实际上可能还有成千上万的应用是托管在用户自购的域名上。 安全研究员 Joel Margolis 指出，要验证某个未受保护的 AI 编码网页应用中是否真的暴露了真实数据，其实并不容易。他和同事此前曾发现一款 AI 聊天玩具，在一个几乎没有安全防护的网站上暴露了 5 万条与儿童的对话记录。他表示，vibe coding应用中的数据可能只是占位符，或者应用本身只是一个概念验证（POC）。Wix 的 Brodie 也认为，提供给 Base44 的两个示例看起来像测试站点或包含 AI 生成的数据。 尽管如此，Margolis 认为，AI 构建的网页应用导致数据暴露的问题确实非常现实。他表示，自己经常遇到 Zvi 所描述的这类暴露情况。“市场团队里有人想做个网站，他们不是工程师，可能也几乎没有安全背景或知识。”他指出，AI 编码工具会按照你的要求去做，但如果你没有要求它以安全的方式去做，它也不会主动这么做。 “人们可以随意创建”，但默认设置出了问题 在RedAccess 的研究发布前不到两周，还发生了一起事件：运行 Claude Opus 4.6 模型的Cursor通过一次对基础设施提供商 Railway 的 API 调用，在 9 秒内删除了 PocketOS 的整个生产数据库及所有卷级备份。 Zvi 直言不讳地表示，“人们可以随意创建某个东西，然后直接在生产环境中使用，代表公司去用，甚至不需要获得任何许可，这种行为几乎没有边界。我不认为可以让全世界都接受安全教育。”他还补充说，他的母亲也在用 Lovable 进行 vibe coding，“但我不认为她会考虑基于角色的访问控制”。 RedAccess 研究人员发现，多个 vibe coding 平台的隐私设置默认让应用处于公开状态，除非用户手动将其改为私密。许多此类应还会被 Google 等搜索引擎收录，任何上网的人都有可能无意中访问到它们。 Zvi 认为，如今 AI 网页应用开发工具正在制造新一波数据暴露，其根源同样是用户错误与安全防护不足的叠加。但比具体某个安全缺陷更根本的问题在于，这些工具让组织内部一类全新的人群可以创建应用，他们往往缺乏安全意识，而且绕过了企业原有的软件开发流程和上线前的安全审查机制。 “公司里的任何人，随时都可以生成一个应用，而且完全不需要经过任何开发流程或安全检查，人们可以在没有征求任何人意见的情况下，直接把它用在生产环境中。而他们确实就是这么做的。”Zvi 说道，“最终的结果就是，企业实际上正在通过这些 vibe coding 应用泄露私密数据，这是有史以来规模最大的事件之一，人们将企业或其他敏感信息暴露给了全世界任何人。” 去年 10 月，Escape.tech 扫描了 5600 个公开的 vibe coding 应用，也发现其中超过 2000 个存在高危漏洞，超过 400 个暴露的敏感信息（包括 API 密钥和访问令牌），以及 175 起涉及个人数据泄露的案例（包括医疗记录和银行账户信息）。Escape 发现的所有漏洞都存在于真实的生产系统中，并且可以在数小时内被发现。今年3 月，该公司完成了由 Balderton 领投的 1800 万美元 A 轮融资，其核心投资逻辑之一正是 AI 生成代码带来的安全缺口。 Gartner 在《2026 年预测》报告中指出，到 2028 年，由“公民开发者”采用的 prompt-to-app（提示生成应用）方式，将使软件缺陷数量增加 2500%。Gartner 认为，这类缺陷的一大新特征是：AI 生成的代码在语法上是正确的，但缺乏对整体系统架构和复杂业务规则的理解。修复这些“深层上下文错误”的成本，将侵蚀原本用于创新的预算。 各平台的回应与反驳 目前，有三家 AI 编码公司对RedAccess研究人员的说法提出异议，称