警惕“氛围感编程”:在 AI 代理与自动化代码背后的安全隐患
引言:当 AI 接管了键盘
想象一下,你只需向 AI 描述一个功能,它就能自动浏览网页、调用文件、甚至直接在你的电脑上运行代码。这种被称为“氛围感编程”(Vibe Coding)的模式正迅速成为现实。无论是 Anthropic 推出的 Claude “计算机使用”(Computer Use)功能,还是 Perplexity 整合了 19 个 AI 模型的“Computer”平台,都在预示着一个自动化、代理化(Agentic)未来的到来。
然而,在这些令人兴奋的技术进步背后,安全专家们敲响了警钟。佐治亚理工学院的一项最新研究显示,这种对 AI 的过度信任可能正让我们的系统门户大开。
“氛围感编程”:不看代码的代价
佐治亚理工学院网络安全与隐私学院(SCP)的研究人员发现,程序员正在通过 Claude、Gemini 和 GitHub Copilot 等工具发布大量带有漏洞的代码。所谓“氛围感编程”,其核心在于开发者更关注 AI 给出的“感觉”和最终产出的功能,而忽略了对底层代码的审查。
漏洞模式的重复性
研究人员 Hanqing Zhao 指出,AI 模型倾向于重复相同的错误。这意味着,如果攻击者在一个 AI 生成的代码库中发现了一个漏洞模式,他们就可以通过扫描成千上万个代码仓库来定位同样的漏洞。目前,“Vibe 安全雷达”已经发现了 74 例确认的 AI 引入漏洞,其中 14 例为严重(Critical)级别,25 例为高危(High)。
常见的漏洞包括:
- 命令注入(Command Injection)
- 身份验证绕过(Authentication Bypass)
- 服务器端请求伪造(SSRF)
更令人担忧的是,漏洞增长速度惊人:2026 年 3 月单月发现的漏洞数量就超过了 2025 年全年的总和。
代理时代的双刃剑:Claude 与 Perplexity
Claude 的“计算机使用”功能
Anthropic 最近发布的 Claude 研究预览版允许 AI 模拟人类操作:移动光标、点击按钮、输入文字。虽然 Claude 在执行任务前会请求许可,但专家警告称,这种“代理化”AI 可能会在极短时间内执行剧烈且不可逆的操作,甚至可能被恶意程序劫持。
Perplexity Computer:多模型编排的尝试
与 Claude 不同,Perplexity Computer 走的是“水平编排”路线。它协调了 19 种不同的模型(如 Claude 负责编码,Gemini 负责研究),并将所有操作放在云端隔离的沙箱中运行。这种设计在一定程度上降低了本地风险,但也反映了目前行业的共识:没有任何一个模型是全能且完全安全的。
为什么漏洞正在扩散?
- 设计的结构性缺陷:当 AI 代理构建一个没有身份验证的功能时,这不仅仅是拼写错误,而是从设计阶段就根植的结构性缺陷。
- 本地代理的盲点:许多人在本地运行 AI 代理,这实际上扩大了攻击面。攻击者不再需要攻破公司防火墙,只需利用本地 AI 模型上下文协议中的一个漏洞即可。
- 缺乏代码审查:“氛围感编程”的本质是不再阅读代码。Zhao 警告说:“如果你要把 AI 的输出部署到生产环境,请像审查实习生的代码一样严谨地对待它。”
开发者应如何自保?
为了在利用 AI 提效的同时确保安全,专家给出了以下建议:
- 详细的提示词(Prompting):提供更具体、包含安全要求的指令,让 AI 的产出更接近生产标准。
- 使用漏洞扫描工具:在部署 AI 生成的代码前,使用自动化的安全工具进行二次检查。
- 严格审查核心模块:特别是涉及身份验证和输入处理(Input Handling)的代码,绝不能完全放权给 AI。
- 沙箱化运行:尽量在隔离环境中测试 AI 代理的操作,避免其直接访问敏感数据。可选像 Nvidia 的 NemoClaw 这样带有“隐私路由”功能的工具。
结语
AI 正在改变我们构建软件的方式,将我们从繁琐的语法中解放出来。然而,代码的安全性不应成为效率的牺牲品。在这个“氛围感”至上的时代,保持一份对底层的理性审视,或许才是开发者最核心的竞争力。