用AI造App很容易，但是埋雷也很容易

设想这样一个场景：你在一个AI编程工具里输入"帮我做一个带用户系统的社区论坛"，不到十分钟，一个带注册、发帖、私信功能的网站就部署上线了。看起来功能齐全，对吧？

但有另一个你完全不知道的事实：这个网站背后的数据库，权限设置为对全世界开放。任何人只要知道地址，就能下载所有注册用户的邮箱、密码和个人私信。

这不是假设，而是2026年正在批量发生的事。

当"能做出来"变成一种错觉

过去一年，AI编程最迷人的叙事莫过于"人人都能做App"。不用写代码，输入几句话就能生成页面、接入数据库、部署上线。软件开发第一次看起来不再专属少数工程师。

但软件世界有一个残酷的常识：能跑，不等于能用；能上线，不等于能负责。

最近一款名为Moltbook的产品，给这场狂欢递上了第一份账单。它定位为"AI代理社交网络"——代理们在上面发帖、评论、投票，靠声望系统建立信誉。创始人坦言，这个产品他没写过一行代码，全靠AI生成。结果安全研究机构发现，其Supabase数据库配置错误，允许完整读写访问：150万个API认证令牌、3.5万个邮箱地址，以及大量AI代理之间的私密消息，全部暴露在公网上。任何人都能冒充平台上任何一个代理账户，篡改所有公开内容。

这并非孤例。RedAccess的一项调查发现，约38万个公开可访问的数字资产中，近5000个包含敏感企业信息——医疗记录、财务数据、内部文件、客服对话。这些资产多数来自AI编程和低代码平台生成或托管的应用。调查者直言：这些应用的隐私设置，"默认就是公开的"。

"看起来做好了"才是最危险的

Vibe Coding最让人上头的体验，是它把软件开发变成了即时反馈游戏——你提需求、AI生成代码，你说不好看、它改样式。过去开发中的大量挫败感，被一轮轮对话抹平了。

但这种体验会制造一种错觉：只要页面能打开，产品就算做出来了。

真正的软件从来不只是页面。页面只是最容易被看见的部分。一个产品能否安全运行，取决于一堆看不见的东西：身份认证、权限隔离、密钥管理、日志脱敏、攻击防护。这些东西没有截图好看，也不会在Demo里自动显现。

更微妙的是，AI生成的代码会制造心理距离："它能跑，所以应该没问题；它是模型生成的，所以大概比我懂"。AI没有让开发者不需要负责，只是让很多人更晚才意识到自己需要负责。

半成功比无人问津更可怕

过去独立开发者最怕的是没人用。但在AI编程时代，另一种失败会更危险：有人真的用了。

因为只要有人使用，就会产生数据；只要有数据，就会产生责任；只要责任没人处理，就会变成风险。

大量AI生成的产品处于一个尴尬的中间状态——它们短暂上线、短暂收集数据、短暂接入第三方服务，然后被遗忘在某个云平台上。依赖没有更新，密钥没有轮换，权限没人检查，但接口仍然可以访问。传统互联网留下的是无人问津的废弃网站；AI编程留下的可能是还在运行、还在收集用户数据的"幽灵应用"。

The Verge曾报道过一个朴素案例：一位开发者用AI拼出网站后，上线几个月才发现一个SQL注入漏洞。结论很精准——业余项目和处理真实财务、医疗数据的软件之间有一条线，但写代码的人往往不知道自己什么时候已经跨过了这条线。

平台的免责声明还站得住吗

Lovable安全漏洞事件提供了一个更完整的样本。安全研究员注册免费账户后，通过少量API调用就能访问其他用户的源代码、数据库凭证和AI聊天记录——因为接口缺乏基本的权限校验。

Lovable起初强调"这不属于传统意义上的数据泄露"，并将部分问题归因于用户对权限设置的理解偏差。随后事件牵出平台内部权限调整——近日一次统一后端权限设置，"意外"重新开启了对公开项目聊天记录的访问权限。

平台最矛盾的地方就在于此：一方面用"人人都是开发者"的爽感做增长，卖点是"零门槛"；另一方面出事之后，默认把安全责任转嫁给完全不懂技术的用户。这相当于卖出一把声称"谁都能用"的电锯，然后说"你不会用是你自己的问题"。

如果一个平台的卖点是"不需要懂技术"，它就没有资格要求用户自己理解权限模型。默认私有而不是公开，默认扫描硬编码密钥，默认在上线前拦截风险——这些不是锦上添花的功能，而是平台收取"零门槛"红利时必须绑定的责任。

新的门槛：不是会生成，而是能负责

这并不意味着AI编程不值得期待。恰恰相反，它正在打开一个巨大的空间——大量过去因开发成本太高无法被满足的小需求，今天一个人就能快速验证。

但也正因为门槛降低，新的分水岭会更快出现。未来，会写prompt、会生成页面、会接API，这些本身将越来越不是稀缺能力。真正稀缺的是：谁能把一个Demo变成可持续运行的产品。

这中间差的不是灵感，而是工程责任——理解用户数据的敏感性，设计权限边界，在产品废弃时删除数据、关闭接口、通知用户。

在AI编程时代，克制会重新变成一种能力。不是谁Prompt写得花哨谁就更强，而是知道哪些数据不能乱收、哪些功能不能裸跑、哪些产品不能在没有维护计划的情况下开放给真实用户。

软件没有因为AI变简单，只是复杂性被推迟了——藏在权限里，藏在数据库里，藏在某个已经被遗忘但仍然开放的接口里。

一旦上线，就不再只是自己的作品——它开始承载别人的信任。而信任，从来不是十分钟生成出来的。