安全公司：部分使用氛围编程 Vibe Coding 开发的网络 App 缺乏身份验证机制、直接暴露于公网

5 月 11 日消息，安全公司 RedAccess 发布报告，透露业界大量通过“Vibe Coding（氛围编程）”打造的 Web 应用存在严重安全隐患，部分系统甚至完全没有身份验证机制，导致企业敏感数据直接暴露在公网。

注：Vibe Coding（氛围编程）通常是指开发者直接利用 AI 编程工具，以低代码甚至零代码方式快速打造应用，此类开发模式近年迅速流行，但也开始暴露出明显的安全问题。

RedAccess 表示，安全人员对公开网络中暴露的 Web 应用进行扫描，一共发现了 38 万个疑似采用 Vibe Coding 打造的应用，其中至少有 5000 款应用毫无安全措施，没有设置任何身份验证、访问控制、权限隔离机制，只要外部人员获取正确 URL，即可直接访问这些应用及其后台数据。

更严重的是，这 5000 款应用中约 40% 已在生产环境中实际使用，其中包含医疗记录、金融数据、企业内部演示文档、客服聊天记录以及个人隐私信息等。部分应用甚至允许搜索引擎索引，意味着普通用户也可能通过搜索直接找到相关页面。

RedAccess 强调，此类权限问题本质上是 AI 编程工具快速普及带来的负面效应，并非传统意义上的“漏洞”，可以看作是开发者自身经验不足，缺乏安全意识。随着 Vibe Coding 应用数量持续增长，预计类似的安全问题未来可能会更加普遍。