指南●●○3 分钟 · +40 XP
Vibe coding 中的安全问题
AI 生成的代码有一些典型的安全漏洞。一份简短的清单能帮你尽早发现它们。
风险是什么?
“Vibe coding”——让 AI 写大部分代码,自己不逐行检查——速度很快,但也带来了一些值得了解的典型安全漏洞。
缺少输入校验
AI 生成的代码不会自动充分校验用户输入。没有明确指示的话,表单字段、API 参数或文件上传的校验经常会被漏掉——这是一个经典的攻击面。
代码里的密钥
AI 模型有时会把占位密钥或示例凭证直接写进代码,而不是放进环境变量。如果没人检查,API key 或密码就会进入代码仓库。
幻觉出来的依赖包(Slopsquatting)
AI 模型有时会推荐根本不存在的包名(幻觉)。攻击者会用这些编造出来的包名注册带恶意代码的包——这种风险叫“slopsquatting”。如果不加检查就安装 AI 建议的包,就有可能因此中招装上恶意软件。
检查清单
- Review 要求:任何 AI 生成的改动上生产前,都要有人检查
- 依赖检查:安装前核实推荐的包名(这个包真的存在吗?靠谱吗?)
- Secrets 扫描器:自动扫描不小心提交进去的密钥和密码
- 最小权限:代码(以及写代码的 agent)只拿到它真正需要的权限
示例
概念示例:每次 merge 前自动跑一个 secrets 扫描器和依赖检查,把新的包名和真实的 registry 做核对。
小测验
“Slopsquatting”是什么?
来源
- Cloud Security Alliance: Slopsquatting Research Note ↗ labs.cloudsecurityalliance.org