Vibe Coding做的App能有多不安全？Lovable花100美元派了一群AI黑客去攻击自己的用户

你的Vibe App，可能正在裸奔

先说一个让所有vibe coder脊背发凉的真实案例。

有人在Reddit上演示了一次”vibe hacking”——随手对一个Lovable展示页上的App发起攻击，直接拿到了18697条用户记录。姓名、邮箱、角色权限，全部暴露，连个登录验证都没有。

这不是个案。AI生成的代码在功能上没问题，但安全上经常是千疮百孔：认证逻辑写反了、数据库权限没配对、API接口大门敞开。研究数据显示，AI生成代码的漏洞率在10%到30%之间。

问题在于，绝大多数vibe coder根本不知道自己的App有多危险。他们用自然语言描述了一个健身追踪器、一个SaaS工具、一个电商后台，Lovable几分钟就给你做出来了——但没有人告诉你，这个App可能被一个中学生在课间十分钟之内攻破。

你觉得你安全？证明给我看。

这正是Lovable 3月24日那条推文想说的事。

100美元，一群AI黑客帮你攻击自己

“Introducing the world’s first penetration testing for vibe coding to Lovable.”

「为vibe coding引入全球首个渗透测试。」

▲ Lovable官方推文，1500赞，近20万人围观

Lovable宣布与安全公司Aikido Security合作，把「agentic penetration testing」（AI Agent驱动的渗透测试）直接内置到平台里。

翻译成人话就是：一群专门训练过的AI Agent会像真正的黑客一样，对你正在运行的App发起真实攻击——注入攻击、越权访问、数据泄露、权限提升，OWASP Top 10里的漏洞挨个试一遍。

关键是，这些Agent不只是扫描代码找关键词——它们是动态测试，对着你的线上环境真刀真枪地打。黑盒、灰盒、白盒三种模式组合使用，白盒模式甚至能理解你的应用逻辑、角色设计和数据流，抓到那些静态扫描永远发现不了的逻辑漏洞。

测完之后怎么办？所有发现直接同步回Lovable，变成可执行的Issue，附带修复建议。点一下「Try Fix All」，AI帮你把漏洞补上。

最后生成一份正式的渗透测试报告——可以直接拿去应付SOC 2审计、ISO 27001认证、客户安全问卷、投资人尽调。

这一切的价格？100美元一次。

从5万美元到100美元，安全民主化的暴力拉平

传统渗透测试是什么概念？

花5000到50000美元，请一个专业安全团队，排期几周到几个月，让真人黑客手动对你的系统一点一点地戳。这是大企业才玩得起的游戏。

对于一个用Lovable做出来的MVP来说，花5万美元做渗透测试？这比App本身的开发成本都高。

所以现实是：99%的创业者和独立开发者从来不做渗透测试。他们靠的是”我觉得安全”。

Lovable创始人Anton Osika在推文里把这件事说得很直白：

“Any Lovable-built app can now get the same quality of security testing companies typically pay $5k-$50k for, in a couple hours, for $100 per test.”

「任何Lovable构建的应用，现在都能获得企业通常花5千到5万美元才能买到的同等质量安全测试——只要几个小时，每次100美元。」

▲ Lovable创始人Anton Osika推文，230赞——”safe building的巨大跃迁”

而合作方Aikido Security那边，数字更炸裂：

“100,000 Lovable apps launch every day. Now, every one of them can be pentested before it ships.”

「Lovable上每天有10万个App上线。现在，每一个都可以在上线前做渗透测试。」

▲ Aikido Security官方推文——”Vibe. Test. Ship.” 两家欧洲独角兽联手

每天10万个App。如果这些App哪怕有1%存在严重漏洞——那就是每天1000个潜在的数据泄露定时炸弹。

但AI做的渗透测试，审计公司认吗？

这是所有人第一时间想到的问题。传统渗透测试由真人安全专家执行，报告上有签名有资质，审计公司认这个。你现在告诉我一群AI Agent跑了几个小时出的报告，SOC 2审计师会买账？

Aikido Security直接放了一个硬承诺：

“We provide an ‘auditor-accepted’ guarantee for the standard pentest package. MEANING that if an auditor rejects the validity of the report on the basis of AI-usage, quality, or methodology, our in-house team will at no-cost manually test the application again to the auditor requirements.”

「我们为标准渗透测试套餐提供’审计认可’保证。意思是——如果审计方因为AI使用、质量或方法论原因拒绝认可报告，我们的内部团队将免费按审计要求重新手动测试。」

▲ Aikido Security的”兜底承诺”——审计不认？我们免费人工重测

这招很聪明。等于说：你先用AI测，便宜又快；万一审计不认，我兜底。

不过Aikido也很诚实地指出了一个事实：大多数Lovable上的App都是微型应用，标准套餐的100美元覆盖这些足够了。但如果是大型成熟系统，想做到穷尽式测试，”significantly higher cost”——那价格就不是100美元的事了。

“从来没有人在Lovable上做过值得渗透测试的App” 💀

当然，这种消息一出来，嘲讽也跟着来了。

“No one ever built an app on Lovable worth penetration testing 💀”

「从来没有人在Lovable上做过一个值得做渗透测试的App 💀」

▲ Adam Barta的灵魂拷问——1300人围观

这条评论虽然毒舌，但确实戳到了一个真实的尴尬：Lovable上的大多数App确实是玩具级别的。健身追踪器、任务管理器、个人博客——这些东西真的需要花100美元做渗透测试吗？

但换个角度想：Lovable的ARR已经超过2亿美元，平台上有2500万个项目，每天新增10万个。这里面一定有一些在处理真实用户数据、接了Stripe收款、跑着真正业务的App。对这些App来说，100美元买一次渗透测试报告，可能是它们从”能用”跨到”能卖给企业客户”的最后一步。

更何况——那个被随手黑掉、泄露了18697条用户数据的App，它的开发者恐怕也觉得自己的App”不值得做渗透测试”。

有人已经把卖点翻译成了大白话

开发者Chaitanya Shetty在推文里替大家总结了要点：

“Vibe-coded apps just went from ‘cool prototype’ to ‘enterprise-ready in seconds.’ The only thing that still needs protection is your old security team’s job. 💀”

「Vibe coding做的App刚刚从’酷炫原型’变成了’秒变企业级’。唯一还需要保护的，是你们老安全团队的饭碗。💀」

▲ @thechaicoder 把Lovable的卖点翻译成人话——”唯一需要保护的是你安全团队的工作”

这话虽然夸张，但方向没错。AI正在把安全测试的成本从”企业专属”拉到”人人可用”的水平。就像AI让每个人都能写代码一样，AI现在也在让每个人都能做安全验证。

两家独角兽的豪赌

最后说说这次合作背后的两家公司。

Lovable：瑞典AI应用构建平台，2023年从开源项目GPT-Engineer起步，创始人Anton Osika（前物理学研究员）和Fabian Hedin把它做成了”用自然语言做App”的代名词。2025年中估值18亿美元，2025年底B轮融3.3亿美元后估值飙到66亿美元。NVIDIA、Salesforce、Databricks都是投资人。两位创始人一个35岁一个26岁，身家已经达到十亿美元级别。

Aikido Security：比利时安全公司，2022年创立，把代码安全、云安全、运行时安全统一到一个平台。客户包括Niantic、Revolut、SoundCloud。2026年1月刚拿到6000万美元B轮，估值达到10亿美元。核心产品就是”Aikido Attack”——用AI Agent群做自主渗透测试。

两家欧洲独角兽、合计估值超过76亿美元，联手搞了一个事情：让”vibe coding”时代的安全验证从可选项变成了标配流程。

Aikido的合作方高管Madeline Lawrence也在推特上确认了这个里程碑：

▲ Aikido CGO Madeline Lawrence确认——”Lovable成为首个内置渗透测试的vibe coding工具”

这件事的真正意义

把视角拉远一点看。

全球渗透测试市场规模在2025年约22.4亿美元，预计到2034年增长到38.5亿美元。这个市场长期被真人安全顾问垄断，价格高、周期长、供不应求。

AI Agent的出现正在从底层颠覆这个市场。当一次渗透测试的边际成本被压缩到100美元、1到4个小时，安全验证就不再是大企业的特权了。

Lovable做的这个集成，可能是vibe coding领域的一个转折点：它第一次让”随便搭的App”和”经过安全验证的App”之间有了一条明确的、可负担的升级路径。

以后再有人问你”vibe coding做的东西安全吗”，你的回答可以是：

“100美元，几个小时，我证明给你看。”

— END —