Hacker News
A security researcher discovered that an app built using the AI vibe-coding platform Lovable leaked sensitive data of over 18,000 users due to flawed access control logic in its AI-generated backend. While the platform claims users are responsible for ignoring security warnings, the incident highlights the growing risks of deploying AI-generated code without human oversight.
AI 生成摘要
一名安全研究員發現,一款使用 AI 氛圍編程平台 Lovable 構建的應用程式,因其 AI 生成的後端存在錯誤的存取控制邏輯,導致超過 1.8 萬名用戶的敏感資料外洩。儘管該平台聲稱用戶應對忽略安全警告負責,但此事件凸顯了在缺乏人工審查的情況下部署 AI 生成代碼所面臨的日益增長的風險。
隨著「Vibe Coding」浪潮興起,開發平台 Lovable 讓不具備程式背景的用戶能透過 AI 快速生成應用程式。然而,資安研究員 Taimur Khan 近期揭露,一款在該平台上公開展示、擁有超過一萬八千名用戶的教育類 App 存在多項重大資安漏洞,導致包括加州大學柏克萊分校與戴維斯分校師生在內的敏感資料外洩。這起事件引發了關於 AI 生成程式碼安全性,以及開發平台與用戶之間責任歸屬的激烈討論。
Hacker News 的討論聚焦於 AI 開發工具如何改變了軟體品質的「信任信號」。部分評論者指出,過去使用者能透過介面的精緻程度與功能完整性,初步判斷開發者是否具備一定的專業水準與資安意識;但在 AI 時代,即使是完全不懂技術的「提示詞工程師」也能產出外觀華麗、體驗流暢的軟體,這種「品質錯覺」讓使用者在無意間承擔了巨大的資安風險。有觀點認為,Vibe Coding 雖然實現了開發的民主化,卻沒有同時實現責任的民主化,最終是由不知情的終端用戶吸收了技術債帶來的負面後果。
針對責任歸屬,社群內存在明顯的分歧。一方認為 Lovable 這類平台既然以「產出即用」作為行銷賣點,並提供託管與展示服務,就應對其生成的程式碼負起基本的審查責任,而非在收到漏洞回報後僅以「用戶需自行負責」為由結案。尤其對於非技術背景的用戶來說,即便平台提供了資安掃描報告,他們可能也缺乏理解與修復漏洞的能力。另一方則持保留態度,認為資安漏洞並非 AI 時代的產物,經驗豐富的人類工程師同樣會犯下邏輯反轉或權限控管不當的低級錯誤。他們主張,無論工具如何演進,確保軟體安全的基本原則始終如一:必須建立自動化測試並確保其不可被跳過。
此外,社群也討論了應對之道。有開發者分享,在使用 AI 生成程式碼時,會同步要求 LLM 生成對應的漏洞概念驗證(PoC)或編寫存取控制測試,以驗證邏輯是否正確。然而,這也面臨 LLM 內建安全機制可能拒絕生成「危險資訊」的阻礙。更有評論者感嘆,這場 Vibe Coding 熱潮讓軟體開發變得像是在販售「腳槍」,任何人都能輕鬆造出足以傷人的工具,卻沒人教導如何安全用槍。這種對新技術的盲目信任,可能導致開源專案與新興應用的信任度降至冰點,直到業界重新找回對資安的重視。
在討論中,有使用者提到了一篇關於非程式設計師朋友如何利用 AI 建立 App 的部落格文章(idiallo.com/blog/my-non-programmer-friends-built-app),反映了當前非技術人員湧入開發領域的現狀。另外,也有人回顧了微軟在 1996 年推廣個人網頁伺服器(Personal Web Server)的歷史,對比當前人人皆可託管應用的趨勢。