来源:市场资讯

(来源:IT之家)

IT之家 5 月 11 日消息,安全公司 RedAccess 发布报告,透露业界大量通过“Vibe Coding(氛围编程)”打造的 Web 应用存在严重安全隐患,部分系统甚至完全没有身份验证机制,导致企业敏感数据直接暴露在公网。

打开网易新闻 查看精彩图片

IT之家注:Vibe Coding(氛围编程)通常是指开发者直接利用 AI 编程工具,以低代码甚至零代码方式快速打造应用,此类开发模式近年迅速流行,但也开始暴露出明显的安全问题。

RedAccess 表示,安全人员对公开网络中暴露的 Web 应用进行扫描,一共发现了 38 万个疑似采用 Vibe Coding 打造的应用,其中至少有 5000 款应用毫无安全措施,没有设置任何身份验证、访问控制、权限隔离机制,只要外部人员获取正确 URL,即可直接访问这些应用及其后台数据。

更严重的是,这 5000 款应用中约 40% 已在生产环境中实际使用,其中包含医疗记录、金融数据、企业内部演示文档、客服聊天记录以及个人隐私信息等。部分应用甚至允许搜索引擎索引,意味着普通用户也可能通过搜索直接找到相关页面。

RedAccess 强调,此类权限问题本质上是 AI 编程工具快速普及带来的负面效应,并非传统意义上的“漏洞”,可以看作是开发者自身经验不足,缺乏安全意识。随着 Vibe Coding 应用数量持续增长,预计类似的安全问题未来可能会更加普遍。