Vibe Coding的现实:AI 代理与安全债务危机
Source: Towards Data Science
Moltbook:一个由 AI 驱动的社交网络及其安全后果
在过去的一个月里,一个完全由 AI 代理运营的社交网络捕获了整个互联网的想象。
Moltbook 本质上是一个平台,自治机器人 发布、回复并互动,无需任何人工干预。短短几天,它就主导了线上讨论——代理们形成了邪教,咆哮人类,甚至开始构建自己的社会。
泄露
安全公司 Wiz 发布了一份报告,揭露了 Moltbook 生态系统中的一次大规模数据泄露1。一个配置错误的 Supabase 数据库使以下信息公开可访问:
- 150 万个 API 密钥
- 35 000 个用户电子邮件地址
根本原因:“Vibe Coding”
这次泄露并非高级黑客攻击的结果。它源于 vibe coding——一种把速度和捷径置于安全之上的开发方式。在本例中,开发者快速搭建系统,忽视了由编码代理本身引入的关键漏洞。
vibe coding 的现实: 编码代理优化的是让代码运行,而不是让代码安全。
要点
- 速度 ≠ 安全 —— 快速开发可能隐藏严重缺陷。
- 代理生成的代码需要审查 —— 即使是自治代理也可能引入不安全的模式。
- 正确的配置至关重要 —— 配置错误的服务(例如 Supabase)可能暴露大量数据。
为什么代理会失败
在我于哥伦比亚大学的研究中,我们评估了顶级编码代理和 Vibe 编码工具 [2]。我们发现了这些代理失效的关键洞察,其中安全性是最关键的失效模式之一。
-
速度优先于安全 – 大语言模型(LLM)被优化为获得接受。让用户接受代码块的最简单方式往往是让错误信息消失。不幸的是,引发错误的约束有时是安全防护。实际上,我们观察到代理 删除验证检查、放宽数据库策略或禁用身份验证流程,仅仅是为了消除运行时错误。
-
AI 对副作用缺乏认识 – AI 往往缺乏完整的代码库上下文,尤其是在大型、复杂的架构中。我们在重构时经常看到这种情况:代理在一个文件中修复了 bug,却在引用该文件的其他文件中引入了破坏性更改或安全泄漏,仅仅因为它没有看到两者之间的关联。
-
模式匹配,而非判断 – LLM 并不真正理解它们所写代码的语义或影响。它们只是基于训练数据预测下一个 token。它们不知道安全检查为何存在,或者删除检查会带来风险。对 AI 来说,安全墙只是阻止代码运行的一个 bug。
这些失效模式并非理论上的,它们在日常开发中不断出现。下面是我在研究过程中遇到的几个简单示例。
3 Vibe‑Coding 安全漏洞 我最近看到的
1. 泄露的 API 密钥
你需要从 React 前端调用外部 API(例如 OpenAI)。代理给出的“修复”方案是把 API 密钥直接粘贴到文件顶部:
// What the agent writes
const response = await fetch('https://api.openai.com/v1/...', {
headers: {
Authorization: 'Bearer sk-proj-12345...' //
}
});该建议很少会加入消毒器(例如 dompurify)。在未进行消毒的情况下使用 dangerouslySetInnerHTML 会使应用暴露于跨站脚本(XSS)攻击,允许恶意脚本在用户设备上运行。
这些并非孤立事件;它们反映了 AI 生成代码更改中的更广泛趋势:
来源: [3], [4], [5]
Source: …
正确的 Vibe‑Code 方法
我们不应停止使用这些工具,但需要改变 使用方式。
1. 更好的提示
- 具体化 – “让它安全” 对 LLM 来说太模糊。
- 采用 规范驱动开发:在代理编写任何代码之前,先定义安全策略和需求。常见策略包括:
- 禁止公开数据库访问。
- 为每个新功能编写单元测试。
- 对所有用户输入进行清理。
- 严禁硬编码 API 密钥。
- 将这些策略基于公认框架,例如 OWASP Top 10。
- 使用 Chain‑of‑Thought 提示:让模型先思考安全影响。
- 示例提示:“这种做法存在哪些安全风险,您将如何避免它们?”
研究表明,这一步的推理显著降低了不安全输出的概率。
2. 更好的审查
- Vibe‑coding 诱使我们仅依赖 UI,但目前还达不到这种程度。
- 正如提出 “vibe coding” 概念的 Andrej Karpathy 警告的那样,若不加约束,代理会产生 低质量代码。
- 我们的主要工作从 编写 代码转变为 审查 代码——就像监督实习生一样。
- 有效的审查清单:
- 仔细查看差异(diff)。
- 运行并验证单元测试。
- 评估 代码质量、可读性和可维护性。
3. 自动化防护栏
- 速度是 vibe‑coding 的核心承诺,但人类无法捕捉所有问题。
- 在代码交给人工审查之前,自动化安全检查:
| 防护栏 | 实现方式 |
|---|---|
| Pre‑commit 检查 | 添加 linter 或自定义脚本,拒绝包含硬编码密钥或危险模式的提交。 |
| CI/CD 扫描器 | 集成 GitGuardian、TruffleHog 或类似的密钥检测服务,以阻止合并泄露凭证的代码。 |
| 工具增强的代理 | 将 LLM 生成与确定性验证器(如静态分析、策略引擎)结合。模型生成代码,工具进行验证,任何不安全的更改都会被自动拒绝。 |
近期关于 LLM‑in‑the‑loop 验证的研究显示,将生成模型与确定性检查器配合使用,可显著提升结果的可靠性和安全性。
结论
- 加速开发 – 编码代理让我们比以往更快地构建。
- 提升可及性 – 它们赋能所有编程背景的人,实现他们设想的任何东西。
- 安全第一 – 这种速度不能以牺牲安全为代价。
- 使用提示工程技术。
- 彻底审查代码差异。
- 提供明确的防护措施。
通过结合这些实践,我们可以安全地利用 AI 代理,构建更好的应用程序。
References
- Wiz Blog – Exposed Moltbook Database Reveals Millions of API Keys
- Columbia DAP Lab – 9 Critical Failure Patterns of Coding Agents (Jan 8 2026)
- VibeFactory – API‑Key Security Scanner
- Apiiro Blog – 4× Velocity, 10× Vulnerabilities: AI Coding Assistants Are Shipping More Risks
- CSO Online – AI Coding Assistants Amplify Deeper Cybersecurity Risks
Footnotes
-
Wiz, Moltbook Ecosystem Leak Report, 2024. (Link to the original report, if available.) ↩