# AI开发工具
安全研究人员Dor Zvi及其团队RedAccess发现,通过Lovable、Replit、Base44和Netlify等AI开发工具创建的数千个“vibe-coded”Web应用中,超过5000个缺乏基本安全认证,可被任意访问。约40%的应用暴露了医疗、财务、企业战略及客户对话记录等敏感信息。部分应用甚至允许未经授权的用户获取系统管理权限。研究通过简单搜索引擎查询AI平台域名识别漏洞应用,发现多起仿冒知名企业的钓鱼网站。专家称这是近年来最严重的数据泄露事件之一,凸显AI开发工具在安全审查上的重大缺失。
网络安全研究人员Dor Zvi及其团队在RedAccess公司发现,通过Lovable、Replit、Base44和Netlify等AI开发工具创建的数千个网络应用中,超过5000个存在严重安全漏洞,未设置任何身份验证或访问控制。约40%的应用暴露了医疗、财务、企业战略及客户对话记录等敏感数据。部分应用甚至允许未经授权的用户获取管理员权限。研究人员通过搜索引擎定位这些应用,发现部分暴露内容包括医院员工信息、广告采购数据、公司市场策略及零售商客户聊天日志。尽管相关AI平台回应称用户可自主设置隐私,但Zvi指出,此类数据泄露反映出企业内部非技术人员在无安全审查的情况下随意部署应用,类似早年A...
据《The Information》报道,苹果公司正限制“氛围编程”(vibe coding)类应用在App Store发布更新,除非其修改相关功能。此类应用允许用户通过文本提示生成代码,创建游戏或其他应用。苹果援引App Store长期规定,称此类应用运行的代码可能改变自身或其他应用的功能,违反指南2.5.2条款。尽管苹果自身在Xcode中引入AI编程工具,但其对第三方应用采取严格管控,引发开发者担忧。该举措被视为苹果维护App Store生态及收入来源的策略,可能影响未来开发者工具的创新方向。