38万应用暴露、2000+应用泄密！AI编程把“内网”变公网

整理 | 华卫

“vibe coding 工具正在泄露大量个人和企业数据。”近日，以色列一家网络安全初创公司 RedAccess 的研究人员在研究“影子 AI”（shadow AI）趋势时发现，开发者用来快速开发软件的 AI 工具让医疗记录、财务数据和财富 500 强内部文件都泄露到了开放网络上。

RedAccess 的 CEO Dor Zvi 表示，研究人员发现约 38 万个可公开访问的应用和其他资产，这些都是开发者使用 Lovable、Base44、Netlify 和 Replit 等工具创建的，其中约有 5000 个包含敏感的企业信息，但近 2000 个应用在进一步检查后似乎暴露了私密数据。Axios 独立验证了多个暴露应用，WIRED 也分别确认了这些发现。

40% AI 编码应用暴露敏感数据，

甚至还有管理员权限

随着 AI 日益接管现代程序员的工作，网络安全领域早已警告：自动化编码工具势必会在软件中引入一大批可被利用的漏洞。然而，当这些 vibe coding 工具让任何人只需点击一下就能创建并托管在网页上的应用时，问题就不仅仅是漏洞了，而是几乎完全没有任何安全防护，包括高度敏感的企业和个人数据。

据了解，RedAccess 团队对使用 Lovable、Replit、Base44 和 Netlify 等 AI 软件开发工具创建的数千个 vibe coding 网页应用进行了分析，发现其中超过 5000 个几乎没有任何安全机制或身份验证。许多这样的网页应用，只要有人获取到其 URL，就可以直接访问应用及其数据。还有一些虽然设置了门槛，但也极其简单，比如只需用任意邮箱地址注册即可访问。

在这 5000 个任何人只需在浏览器中输入 URL 就能访问的 AI 编码应用中，Zvi 发现近 2000 个在进一步检查后似乎暴露了私密数据。Zvi 表示，大约 40% 的应用暴露了敏感数据，包括医疗信息、金融数据、企业演示文稿和战略文件，以及用户与聊天机器人对话的详细记录。

他分享的网页应用截图（其中一些已被核实仍在线且处于暴露状态）显示，包括某医院的工作分配信息（含医生的个人身份信息）、某公司的详细广告采购数据、另一家公司的市场进入战略演示文稿、一家零售商的聊天机器人完整对话记录（包含客户的全名和联系方式）、一家航运公司的货运记录，以及来自多家公司的各类销售和财务数据。Zvi 还表示，在某些情况下，这些暴露的应用甚至可能让他获得系统的管理员权限，甚至删除其他管理员。

Zvi 表示，RedAccess 在搜寻存在漏洞的网页应用时出奇地容易。Lovable、Replit、Base44 和 Netlify 都允许用户将网页应用托管在这些 AI 公司的自有域名上，而不是用户自己的域名。因此，研究人员只需在 Google 和 Bing 上，通过这些公司的域名配合其他关键词进行简单搜索，就能识别出数千个使用这些工具进行 vibe coding 开发的应用。

在 Lovable 的案例中，Zvi 还发现了大量仿冒大型企业的钓鱼网站，这些网站看起来是通过该 AI 编码工具创建并托管在 Lovable 域名上的，包括美国银行（Bank of America）、Costco、FedEx、Trader Joe’s 和麦当劳等品牌。Zvi 还指出，Red Access 发现的 5000 个暴露应用仅托管在 AI 编码工具自身域名上，实际上可能还有成千上万的应用是托管在用户自购的域名上。

安全研究员 Joel Margolis 指出，要验证某个未受保护的 AI 编码网页应用中是否真的暴露了真实数据，其实并不容易。他和同事此前曾发现一款 AI 聊天玩具，在一个几乎没有安全防护的网站上暴露了 5 万条与儿童的对话记录。他表示，vibe coding 应用中的数据可能只是占位符，或者应用本身只是一个概念验证（POC）。Wix 的 Brodie 也认为，提供给 Base44 的两个示例看起来像测试站点或包含 AI 生成的数据。

尽管如此，Margolis 认为，AI 构建的网页应用导致数据暴露的问题确实非常现实。他表示，自己经常遇到 Zvi 所描述的这类暴露情况。“市场团队里有人想做个网站，他们不是工程师，可能也几乎没有安全背景或知识。”他指出，AI 编码工具会按照你的要求去做，但如果你没有要求它以安全的方式去做，它也不会主动这么做。

“人们可以随意创建”

但默认设置出了问题

在 RedAccess 的研究发布前不到两周，还发生了一起事件：运行 Claude Opus 4.6 模型的 Cursor 通过一次对基础设施提供商 Railway 的 API 调用，在 9 秒内删除了 PocketOS 的整个生产数据库及所有卷级备份。

Zvi 直言不讳地表示，“人们可以随意创建某个东西，然后直接在生产环境中使用，代表公司去用，甚至不需要获得任何许可，这种行为几乎没有边界。我不认为可以让全世界都接受安全教育。”他还补充说，他的母亲也在用 Lovable 进行 vibe coding，“但我不认为她会考虑基于角色的访问控制”。

RedAccess 研究人员发现，多个 vibe coding 平台的隐私设置默认让应用处于公开状态，除非用户手动将其改为私密。许多此类应还会被 Google 等搜索引擎收录，任何上网的人都有可能无意中访问到它们。

Zvi 认为，如今 AI 网页应用开发工具正在制造新一波数据暴露，其根源同样是用户错误与安全防护不足的叠加。但比具体某个安全缺陷更根本的问题在于，这些工具让组织内部一类全新的人群可以创建应用，他们往往缺乏安全意识，而且绕过了企业原有的软件开发流程和上线前的安全审查机制。

“公司里的任何人，随时都可以生成一个应用，而且完全不需要经过任何开发流程或安全检查，人们可以在没有征求任何人意见的情况下，直接把它用在生产环境中。而他们确实就是这么做的。”Zvi 说道，“最终的结果就是，企业实际上正在通过这些 vibe coding 应用泄露私密数据，这是有史以来规模最大的事件之一，人们将企业或其他敏感信息暴露给了全世界任何人。”

去年 10 月，Escape.tech 扫描了 5600 个公开的 vibe coding 应用，也发现其中超过 2000 个存在高危漏洞，超过 400 个暴露的敏感信息（包括 API 密钥和访问令牌），以及 175 起涉及个人数据泄露的案例（包括医疗记录和银行账户信息）。Escape 发现的所有漏洞都存在于真实的生产系统中，并且可以在数小时内被发现。今年 3 月，该公司完成了由 Balderton 领投的 1800 万美元 A 轮融资，其核心投资逻辑之一正是 AI 生成代码带来的安全缺口。

Gartner 在《2026 年预测》报告中指出，到 2028 年，由“公民开发者”采用的 prompt-to-app（提示生成应用）方式，将使软件缺陷数量增加 2500%。Gartner 认为，这类缺陷的一大新特征是：AI 生成的代码在语法上是正确的，但缺乏对整体系统架构和复杂业务规则的理解。修复这些“深层上下文错误”的成本，将侵蚀原本用于创新的预算。

各平台的回应与反驳

目前，有三家 AI 编码公司对 RedAccess 研究人员的说法提出异议，称对方分享的信息不够充分，也没有给予足够时间来回应。但 Zvi 表示，对于几十个暴露的网页应用，他们主动联系了应用的疑似所有者。各家公司高管均表示，他们严肃对待此类报告，同时指出这些应用公开可访问，并不必然意味着存在数据泄露或安全漏洞。不过，这些公司也并未否认 RedAccess 所发现的网页应用确实处于公开暴露状态。

Replit 的 CEO Amjad Masad 表示，RedAccess 在披露之前，只给了他们 24 小时的响应时间。他在 X 上的回应中写道，“根据他们分享的有限信息，RedAccess 的核心指控似乎是：一些用户把本应私密的应用发布到了开放的互联网，Replit 允许用户自行选择应用是公开还是私密。公开应用可以在互联网上被访问，这是预期行为。隐私设置也可以随时通过一次点击进行更改。如果 Red Access 共享受影响用户名单，我们将主动将这些应用默认为私密，并直接通知用户。”

Lovable 的一位发言人在声明中回应称，“Lovable 非常重视关于数据暴露和钓鱼网站的报告，我们正在积极获取所需信息以展开调查。目前此事仍在持续处理中。同时也需要指出，Lovable 为开发者提供了安全构建应用的工具，但应用如何配置，最终责任在于创建者本人。”

在此前公开的 CVE-2025-48757 中，记录了 Lovable 生成的 Supabase 项目中存在行级安全（Row-Level Security）策略不足甚至缺失的问题。一些查询完全跳过了访问控制检查，导致 170 多个生产环境应用的数据被暴露。AI 负责生成了数据库层，却没有生成本应限制数据访问的安全策略。Lovable 对该 CVE 分类提出异议，称保护应用数据是客户自身的责任。

Base44 母公司 Wix 的公关负责人 Blake Brodie 在声明中表示：“Base44 为用户提供了强大的工具来配置其应用的安全性，包括访问控制和可见性设置。”她补充说，“关闭这些控制是一个有意且简单的操作，任何用户都可以做到。如果应用是公开可访问的，那反映的是用户的配置选择，而不是平台漏洞。”

Brodie 还指出，“伪造看似包含真实用户数据的应用非常容易。在没有向我们提供任何经过验证的案例的情况下，我们无法评估这些指控的真实性。”对此，RedAccess 反驳称，他们确实向 Base44 提供了相关示例。RedAccess 还分享了若干匿名沟通记录，显示 Base44 用户感谢研究人员提醒其应用存在暴露问题，随后这些应用被加固或下线。

据了解，Wiz Research 在去年 7 月曾独立发现，Base44 存在一个平台级的身份验证绕过漏洞。暴露的 API 接口允许任何人仅凭一个公开可见的 app_id，就能在私有应用中创建“已验证账户”。这一漏洞相当于：站在一栋上锁的大楼门口，只要喊出一个房间号，就能让门自动打开。Wix 在 Wiz 报告后 24 小时内修复了该漏洞，但这一事件暴露出一个问题：在这些平台上，数百万应用由用户创建，而用户往往默认平台已经替他们处理了安全问题，但实际的认证机制却非常薄弱。

https://www.wired.com/story/thousands-of-vibe-coded-apps-expose-corporate-and-personal-data-on-the-open-web/

https://www.axios.com/2026/05/07/loveable-replit-vibe-coding-privacy

https://venturebeat.com/security/vibe-coded-apps-shadow-ai-s3-bucket-crisis-ciso-audit-framework

声明：本文为 AI 前线整理，不代表平台观点，未经许可禁止转载。

会议推荐

世界模型的下一个突破在哪？Agent 从 Demo 到工程化还差什么？安全与可信这道坎怎么过？研发体系不重构，还能撑多久？

AICon 上海站 2026，4 大核心专题等你来：世界模型与多模态智能突破、Agent 架构与工程化实践、Agent 安全与可信治理、企业级研发体系重构。14 个专题全面开放征稿。

诚挚邀请你登台分享实战经验。AICon 2026，期待与你同行。

今日荐文

你也「在看」吗？