极客前沿

极客资讯 正文

别让“氛围编程”毁了你的App

2026-06-23 00:30 | The Verge AI ...

Bob Starr 最近挺得意,他用 AI 编程工具快速搞了个名叫“Boomberg”的网站,能实时展示美国税收流向科技公司的情况。上线后反响不错,直到几个月后他才发现一个致命问题:网站存在 SQL 注入漏洞,攻击者可以随意读取或篡改数据。“这完全是盲点,我在学习新技术时完全忽略了安全。”Starr 是科技行业的项目经理,他的遭遇并非个例。

News Image

社交媒体上,关于“氛围编程”翻车的故事比比皆是。PocketOS 创始人 Jer Crane 发帖说,AI 编程代理直接删除了公司的生产数据库。连续创业者 Joe Procopio 用 AI 写了个内部演示应用,结果被黑客盯上,最后只能关停。“现在我只能用最老土的方式,本地跑 Zoom 演示,感觉回到了 2023 年。”他自嘲道。

News Image

所谓“氛围编程”,是 The Verge 的 David Pierce 提出的新概念,指任何人借助 AI 工具就能快速创建个性化应用。这听起来很美好,但安全问题也随之而来。应用好写,安全难搞,尤其是在 AI 也能被用来攻击的时代。

News Image

网络安全公司 SentinelOne 的 AI 研究科学家 Gabriel Bernadett-Shapiro 一针见血:“氛围编程本身不是坏事,让普通人能写代码是好事。真正的危险在于,个人应用悄悄变成了企业级软件,托管了共享数据,却没人意识到这种转变。”他解释说,当应用从记录头痛日志、管理快递或餐食的本地工具,变成处理客户信息、医疗记录、财务数据或内部文档的平台时,安全标准必须改变。“哪怕是一个人花一下午写出来的,哪怕生成代码的 AI 很简单,一旦涉及别人的个人数据,标准就不一样了。”

News Image

专注 AI 原生开发安全的平台 Corridor 的 CEO Jack Cable 也持相同观点:“氛围编程适合低风险场景,比如原型或者不太敏感的健身追踪器。但财务记录就得格外小心,任何暴露在公网上的东西都要谨慎。”他建议开发者问自己:“我是否暴露了自己或他人的数据?如果不确定是否安全,宁可保守一点。”

News Image

加密钱包公司 Privy 的 COO Max Segall 就是个正面例子。他为了激励儿子一起跑步,用 AI 写了个小应用 EzRun,每次跑完奖励 10 美元以太坊。好在同事发现了一个严重漏洞,能让任何人修改用户账户。“幸好发现得早,不然我的钱包就空了。”Segall 心有余悸。

AI 编程确实降低了门槛,但安全这根弦不能松。无论是新手还是老手,在享受“氛围编程”的便利时,别忘了问问自己:这个应用安全吗?毕竟,一个漏洞可能让整个数字生活崩塌。