文 | wiwi

過去一年，AI 編程最迷人的敘事，是"人人都能做 App"——不會寫代碼的人，輸入幾句話，就能生成頁面、接上數據庫、部署上線，軟件開發第一次看起來不再屬于少數工程師。

一個叫 Moltbook 的產品，給這場狂歡遞上了第一份賬單。

它的定位是"AI 代理專屬社交網絡"：代理們在上面發帖、評論、投票，靠聲望系統建立信譽，被稱為"代理互聯網的首頁"。創始人說得很坦誠，這個產品是 vibe-coded 出來的，他本人沒寫一行代碼，全靠 AI 生成。

結果，安全研究機構 Wiz 發現，一個配置錯誤的 Supabase 數據庫允許完整讀寫訪問，讓生產環境對任何人完全開放：150 萬個 API 認證令牌、3.5 萬個郵箱地址，以及大量 AI 代理之間的私密消息，全部裸奔在公網上。任何人都能冒充平臺上任何一個 AI 代理賬戶，篡改所有公開內容。

這不是孤例，而是 2026 年正在批量發生的事。軟件世界有一個殘酷的常識：能跑，不等于能用；能上線，不等于能負責。AI 在批量造 App，也在批量埋雷。

Hacking Moltbook: The AI Social Network Any Human Can Control

一、最危險的不是做不出來，而是"看起來已經做好了"

Vibe Coding 最讓人上頭的地方，在于它把軟件開發變成了一種即時反饋游戲：你提需求，AI 生成代碼；你說按鈕不好看，它改樣式；你說部署報錯，它給你一段命令。過去開發過程里的大量挫敗感，被一輪輪自然語言對話抹平了。

這種體驗會制造一種強烈錯覺：只要頁面能打開，產品就算做出來了。但真正的軟件并不是頁面——頁面只是最容易被看見的部分。一個產品能不能安全運行，取決于一堆看不見的東西：認證、權限隔離、密鑰管理、日志脫敏、攻擊防護。這些東西沒有截圖好看，也不會在 Demo 里自動顯現。

以色列安全公司 RedAccess 的一項調查，把這種錯覺的代價擺到了臺面上：他們發現約 38 萬個公開可訪問的資產，其中約 5000 個包含敏感企業信息，包括醫療記錄、財務數據、內部文件和客服對話等。Axios 的報道也提到，這些資產涉及 Lovable、Base44、Replit、Netlify 這類 AI/低代碼平臺生成或托管的應用。RedAccess 的 CEO 說得很直接：這些應用的隱私設置,"默認就是公開訪問"。

也就是說，造一個能用的 App，門檻已經被 AI 砸到幾乎為零。但"知道自己在裸奔"這件事，門檻一點沒降。一批看起來像產品、實際更像半成品實驗的 App，被直接推到了真實世界——它們不是不能跑，而是跑得太早了。

Vibe-Coded

二、造的門檻降了，擔責的門檻沒跟上

AI 編程工具解決的是"如何生成代碼"的問題，不是"誰來承擔后果"的問題——這是這場狂歡里最容易被忽視的一句話。

Lovable 自己攤上的一起漏洞，比任何說理都更能講清楚這一點。據安全社區披露，今年 4 月，研究員 weezerOSINT 注冊一個 Lovable 免費賬戶后，通過少量 API 調用，就可能訪問其他用戶的源代碼、數據庫憑證和 AI 聊天記錄。這不需要任何攻擊性手段，問題指向接口缺乏權限校驗，是一種典型的 BOLA（對象級授權缺失）漏洞，據稱影響 2025 年 11 月之前創建的項目，規模不小。研究員說，自己 48 天前已經通過 HackerOne 報告過這個問題。

Lovable 起初強調平臺并未遭遇傳統意義上的數據泄露，并將部分問題解釋為用戶對公開項目和權限設置的理解偏差。隨后，事件又牽出平臺后端權限調整、漏洞報告流轉等問題。公司承認，今年 2 月統一后端權限設置時，"意外重新開啟"了對公開項目聊天記錄的訪問權限；研究員也提到，HackerOne 曾把這份報告標記成"重復提交"。

一個安全漏洞繞了一圈，最后變成了平臺、用戶、漏洞響應流程之間互相拉扯的責任鏈。唯獨沒有人說：這個產品在設計上，本來就沒有把"用戶的代碼和數據要被保護"當成第一優先級。

這不是道德問題，而是能力結構問題。一個獨立開發者可以同時是產品經理、設計師、前端、后端、運維，但他大概率只理解前兩個角色，對后面幾個角色幾乎沒有概念——AI 可以幫他生成一段登錄邏輯，但不會主動告訴他這段邏輯是否符合真實安全場景；可以幫他接入數據庫，但不會替他設計最小權限原則。更微妙的是，AI 生成的代碼會制造一種心理距離："它能跑，所以應該沒問題；它是模型生成的，所以大概比我懂"。AI 沒有讓人不需要負責，只是讓很多人更晚才意識到自己需要負責。

三、半成功比沒人用更危險

過去，獨立開發者最怕的是沒人用。但在 AI 編程時代，另一種失敗會變得更危險：有人真的用了。因為只要有人使用，就會產生數據；只要有數據，就會產生責任；只要責任沒人處理，就會變成風險。

The Verge 報道過一個樸素的案例：開發者 Bob Starr 用 AI 拼出的網站，上線幾個月之后才發現一個 SQL 注入漏洞。文章的判斷很準——業余項目和處理真實財務、醫療數據的軟件之間，有一條線，但寫代碼的人，往往不知道自己什么時候已經跨過了這條線。

很多 AI 生成產品的問題，不在于它們太失敗，而在于它們半成功。如果沒人訪問，它只是一個廢棄項目；如果突然有人訪問，它就可能變成一個無人看管的數據容器。這類產品會越來越多，因為 AI 把試錯成本壓得太低了——一個人可以在一個月里做十幾個小工具，大多數不會真正長大，但都會短暫上線、短暫收集數據、短暫接入第三方服務，然后被遺忘在某個云平臺、某個數據庫實例里——依賴沒有更新，密鑰沒有輪換，權限沒人檢查，接口卻仍然可以訪問。

傳統互聯網留下的是僵尸網站；AI 編程留下的可能是僵尸 App。區別在于，僵尸網站最多只是沒人看，僵尸 App 可能還握著一批真實用戶的數據——Moltbook 暴露的那批 API 令牌和代理私密消息,本質上就是一個被狂歡式增長甩在身后、沒人來得及收尾的數據容器。

Moltbook

四、低代碼踩過的坑，AI 編程正在重新踩一遍

"非專業開發者做軟件"不是新鮮事。低代碼、無代碼、Excel 宏，都曾承諾過類似的東西，也確實制造過隱患——很多企業里都有一批"沒人敢動"的系統，原作者離職多年，文檔沒有，權限混亂，卻仍支撐著某個關鍵流程。

AI 編程只是把這件事從企業內網推向了公網：以前業務人員搭壞了內部表單，影響的是一個部門；現在不懂安全配置的人搭一個 AI 工具，開放注冊、掛上域名，影響的是所有上傳過數據的陌生人。

更麻煩的是，這種債務不容易被看出來。一個傳統爛系統通常一眼能看出粗糙；AI 生成的產品不一樣，界面好看、交互流暢，會用現代化 UI 包裝自己。但好看的前端,掩蓋不了脆弱的后端——RedAccess 報告里那些泄露醫療記錄和銀行數據的應用，外表看上去和任何一個正常上線的產品沒什么區別。

五、平臺不能只享受增長，不承擔護欄

這件事不能只怪用戶，更不該只怪用戶。

AI 編程平臺靠"人人都是開發者"的爽感做增長營銷，賣點就是"門檻已經沒了"?？梢坏┏鍪拢谝环磻菑娬{"這不算傳統意義上的數據泄露"，是"用戶對權限設置存在理解偏差"——這相當于把一個完全沒有工程背景的人，默認成了應該自己看懂權限模型的責任主體。這是平臺一邊收割"零門檻"的增長紅利，一邊把"零門檻"本該承擔的安全代價，留給最沒有能力承擔它的人。Lovable 的回應路徑就是現成的樣本：先強調不是泄露，再把問題歸到用戶理解偏差，最后才牽出平臺自己 2 月份的權限調整"意外"把默認值從私有改回了公開——平臺自己的責任，是繞了一圈之后才被提到的那一項。

如果一個平臺的賣點是"不需要懂技術"，它就沒有資格要求用戶自己理解權限風險。默認私有而不是默認公開，默認掃描硬編碼密鑰，默認在上線前攔一下用戶——這些不是錦上添花的功能，而是平臺收"門檻"這筆錢時本該綁定的責任。今天大多數平臺還在增長優先階段，更愿意展示"十分鐘做出一個漂亮應用"，而不是在用戶點下"發布"之前，老老實實告訴他：你的數據庫現在是公開的。

值得一提的是，安全和隱私只是這筆賬的一部分。圍繞 AI 生成代碼的版權歸屬、開源協議義務，以及第三方 AI 處理用戶數據的合規要求，也正在被重新擺上臺面。比如 Doe v. GitHub 案仍在美國法院體系中拉扯，爭議之一就是 Copilot 生成代碼是否移除了開源代碼中的版權管理信息；蘋果也已在 App Store 審核規則中要求，開發者向第三方 AI 分享用戶個人數據前，必須明確告知并取得同意。換句話說，Vibe Coding 的風險不只是"有沒有漏洞"，還包括"代碼從哪來、數據去了哪、出了事誰負責"。

六、獨立開發者的新壁壘：不是會生成，而是能負責

這并不意味著 AI 編程不值得期待。它確實打開了一個巨大的空間——過去很多小需求因為開發成本太高，永遠不會被滿足，今天一個人就可以快速驗證想法，服務小眾人群。

但正因為門檻降低，新的分化會更快出現。未來，大家都會用 AI 寫代碼——會不會生成頁面、會不會接 API，本身會越來越不是稀缺能力。真正稀缺的是：誰能把一個 Demo 變成可持續運行的產品。這中間差的不是靈感，而是工程責任——能不能理解用戶數據的敏感性，能不能設計權限邊界，能不能在產品廢棄時刪除數據、關閉接口、通知用戶。

以前，一個人做產品最大的難點是做不出來；現在，做出來反而只是開始。你越容易上線，就越容易提前進入責任區。在 AI 編程時代，克制會重新變成一種能力——不是誰提示詞寫得更炫就是更強的開發者，而是知道哪些數據不能亂收、哪些功能不能裸跑、哪些產品不能在沒有維護計劃的情況下開放給真實用戶。

軟件沒有因為 AI 變簡單，只是復雜性被推遲了——藏在權限里，藏在數據庫里，藏在某個已經被忘記但仍然開放的接口里。下一階段，真正有價值的開發者、平臺和社區，可能不再只是教人如何用 AI 快速做產品，而是教人如何把產品安全地放進真實世界。因為軟件一旦上線，就不再只是自己的作品，它開始承載別人的信任——而信任，從來不是十分鐘生成出來的。