这次不是AI被黑,是AI写的代码被黑。
Wiz刚刚给"AI原生应用"泼了盆冷水:他们发现AI社交平台Moltbook存在重大漏洞,用户私信、邮箱地址、身份凭证全部暴露。Wiz联合创始人Ami Luttwak直接点名——这是"vibe coding"的产物。所谓vibe coding,就是开发者用自然语言描述需求,让AI生成代码,自己只看"vibe"不看逻辑。结果代码跑起来了,安全底线却崩了。
这是首起将AI生成代码与重大安全漏洞直接挂钩的公开案例,标志着"AI安全"从理论担忧进入实证阶段。
表面上看这是个技术失误,实质是开发范式的结构性危机。vibe coding让不懂编程的人也能快速搭建MVP,但代价是开发者对底层逻辑一知半解,安全审计形同虚设。Moltbook为了速度牺牲了传统软件开发生命周期(SDLC),硬编码凭证、不安全的API端点直接暴露在攻击者面前。更危险的是,作为AI代理社交平台,机器人之间的自主交互产生了传统安全模型无法预测的数据访问路径——你根本不知道两个AI在聊什么,更不知道它们会泄露什么。
这事儿还没完。随着非专业开发者大量使用Copilot、Cursor等工具"vibe"出应用,类似漏洞只会越来越多。市场正在从"AI能力展示"阶段被迫进入"AI安全治理"阶段,AI代码审计即将成为独立赛道。
当代码可以靠vibe生成,安全绝不能靠vibe保障。接下来18个月,准备好迎接一波"AI生成应用"的安全暴雷潮吧。
本文由 AI 辅助生成,仅供参考。