匈牙利网络安全专家警告：AI辅助编程（"氛围编码"）或引发严重安全漏洞

布达佩斯——随着人工智能（AI）辅助编程工具在开发者中的普及，一种被称为“氛围编码”（vibe coding）的现象正引发网络安全专家的担忧。在这种模式下，开发者描述需求，AI则负责生成大部分代码。虽然生成的代码初看可能功能正常，但若未经审查便部署到生产环境，极易带来安全风险。

多家行业研究和分析指出，AI生成的代码中有相当一部分包含安全漏洞，尤其是在开发者不加修改地接受AI建议的情况下。原因在于，这些AI模型从大量公开源代码中学习，而这些代码库中本身就充斥着不良实践和包含漏洞的模式。若开发过程中缺乏有意识的审查，典型错误便会悄无声息地嵌入最终产品。

“常见问题包括输入验证缺失或权限管理不当，”匈牙利网络安全公司Hackrate的创始人兼技术总监莱文特·莫尔纳尔（Molnár Levente）表示，“由此产生的漏洞往往为攻击者访问数据和内部系统打开了直接通道。”

另一个特定风险是，AI编码工具有时可能“复述”与敏感数据相关的模式。根据过往案例和分析，代码补全工具可能会建议类似于在公开代码库中意外泄露的密钥或令牌的代码片段。如果开发团队未加留意地采纳，可能导致受损的凭证被植入代码库。

风险不仅限于代码生成。当应用程序集成了基于大语言模型（LLM）的聊天或“智能”模块时，还会出现所谓的“提示注入”（prompt injection）攻击。攻击者通过精心构造的输入，试图诱使模型突破规则、泄露敏感信息或执行非预期操作。这类攻击之所以常能奏效，是因为许多组织尚未围绕AI功能建立稳定的防御和测试机制。

对于AI辅助开发的软件，独立的第三方安全审计尤为重要。Hackrate的经验表明，错误的根源正越来越频繁地源于过快且缺乏审查的AI驱动开发。在这种情况下，除了测试常见的网络攻击方法，还必须检查如提示注入等AI原生的攻击形式。

专家强调，无论开发速度多快，都必须在部署前发现并修复安全漏洞。核心措施依然是彻底的测试、自动化检查以及对真实攻击场景的模拟。