AI编程狂欢背后:批量造App,也批量埋雷?

📅 发布时间:2026/7/12 17:28:48
AI编程狂欢背后:批量造App,也批量埋雷? AI编程狂欢背后Moltbook率先“爆雷”过去一年AI编程最迷人的叙事是“人人都能做App”不会写代码的人输入几句话就能完成软件开发。然而一个叫Moltbook的产品给这场狂欢递上了第一份账单。它定位为“AI代理专属社交网络”创始人靠AI生成未写一行代码。结果安全研究机构Wiz发现其配置错误的Supabase数据库允许完整读写访问导致150万个API认证令牌、3.5万个邮箱地址及大量私密消息裸奔公网任何人都能冒充账户篡改公开内容。这不是个例2026年此类事件正在批量发生AI在批量造App的同时也在批量埋雷。“看起来做好”的App实则暗藏危机Vibe Coding把软件开发变成即时反馈游戏通过自然语言对话抹平开发挫败感让人产生只要页面能打开产品就算做好的错觉。但真正的软件安全运行取决于认证、权限隔离等看不见的东西。以色列安全公司RedAccess调查发现约38万个公开可访问资产其中约5000个含敏感企业信息涉及Lovable等AI/低代码平台应用这些应用隐私设置“默认就是公开访问”。这表明造App门槛被AI降低但“知道自己在裸奔”的门槛未降一批看似成品实则半成品的App被过早推向真实世界。AI编程造的门槛降了担责的门槛没跟上AI编程工具解决的是“如何生成代码”而非“谁来承担后果”。Lovable的漏洞事件就是例证。今年4月研究员weezerOSINT注册免费账户后通过少量API调用就能访问其他用户源代码等信息问题指向接口缺乏权限校验影响2025年11月前创建的项目。Lovable起初强调未遭遇传统数据泄露将问题归咎于用户理解偏差后又牵出平台后端权限调整等问题。这暴露出产品在设计上未将保护用户代码和数据作为首要任务AI虽能帮助生成代码但不会主动告知安全问题还会让人产生代码没问题的心理导致很多人更晚意识到自己需要负责。半成功的AI产品比没人用更危险过去独立开发者怕没人用AI编程时代有人使用反而更危险。只要有人用就会产生数据和责任处理不当就会变成风险。开发者Bob Starr用AI拼出的网站上线数月后发现SQL注入漏洞很多AI生成产品半成功没人访问时是废弃项目有人访问就可能成为无人看管的数据容器。AI降低试错成本导致这类产品增多它们短暂上线收集数据后被遗忘存在依赖未更新等问题与传统僵尸网站不同僵尸App可能握着真实用户数据。AI编程低代码的坑正在重新踩“非专业开发者做软件”并非新鲜事低代码等曾制造隐患企业中有很多“没人敢动”的系统。AI编程将此从企业内网推向公网不懂安全配置的人搭建AI工具影响更大。而且AI生成产品界面好看但掩盖不了后端脆弱如RedAccess报告中泄露敏感数据的应用外表与正常产品无异。平台不能只享受增长不承担护栏AI编程平台靠“人人都是开发者”营销增长出事却将责任推给用户这是收割增长红利却让用户承担安全代价。Lovable的回应就是典型先强调非泄露再归责用户最后才提及自身权限调整问题。如果平台卖点是“不需要懂技术”就应承担相应安全责任如默认私有、扫描硬编码密钥等。此外围绕AI生成代码的版权归属等合规要求也需重新审视Vibe Coding的风险不仅是有无漏洞还涉及代码来源等问题。独立开发者新壁垒不是会生成而是能负责AI编程虽打开巨大空间让小需求得以验证但门槛降低会加速分化。未来会用AI写代码不再稀缺能把Demo变成可持续产品才是关键这需要工程责任如理解用户数据敏感性等。以前做产品难在做不出来现在做出来只是开始越容易上线越易进入责任区。在AI编程时代克制是一种能力真正有价值的开发者等应教人把产品安全放进真实世界因为软件上线后承载着别人的信任而信任不是短时间能生成的。那么在AI编程浪潮中开发者和平台能否真正承担起责任保障软件安全呢