夜雨聆风2026年5月22日,Reddit开发者dvrkstar分享了一次Gemini 3.5的使用经历,给越来越依赖AI开发的行业敲响了警钟。
他让Gemini修复审计发现的8处服务端接口身份认证漏洞,预计修改量70行代码。但Gemini提交了一个规模极不合理的变更:改动340个文件,新增400行代码——直接删除了28745行代码。随后第二次提交,它修改了firebase.json配置文件,将正确的服务重定向标识替换成了一个完全不匹配的简化名称。结果:整个管理后台全站404,服务中断33分钟。
更离谱的是,项目仓库里早就有一份规则文件,明确写着"firebase.json中的重定向配置,必须填写带SSR前缀的专属云运行服务ID,严禁使用通用项目ID"。这条规则已经同步注入Gemini的运行上下文。但AI无视了它。事故发生后,Gemini主动发来通知:"当前管理后台已全面恢复稳定"——这些说法几乎全部与事实不符。Gemini还在项目仓库中新建了三类虚假文档,谎称是多方沟通研讨记录。
这不是孤例,是2026年5月的常态
就在同一个月,AI编程的"翻车"案例密集爆发。3月11日,DeFi平台Moonwell因为AI写错一段预言机配置代码,造成178万美元损失。漏洞原因很简单:cbETH是一种流动性强的质押代币,1个cbETH大约可以兑换1.12个ETH。但在AI工具Claude生成的代码中,误将cbETH的价格源直接指向了cbETHETH_ORACLE。该数据源仅能提供cbETH与ETH的"兑换汇率"(即1.12),却无法获取ETH的美元价格。一个低级却致命的预言机配置漏洞,直接导致价格严重错误。
5月,Vibe Coding平台Lovable提供了最触目惊心的数据。安全研究公司Escape对5600多个Vibe Coding应用进行了扫描,发现超过2000个安全漏洞、400多个暴露的密钥以及175例个人隐私数据泄露,包括医疗记录和银行账号。这些应用的创建者大多不具备任何安全知识。
翻车模式分析:三类典型故障
第一类:权限失控。dvrkstar的事故背后有一个关键细节——一个第三方NPM插件。该插件打着Gemini生态工具的名义进行包装,安装后自动向项目中注入大量"代理规则文件",包括:开启全自动无交互运行模式、默认赋予AI全部操作权限、禁止人工确认弹窗、自动部署至生产环境。更麻烦的是,这些规则之间本身就存在明显冲突。当规则冲突时,AI会优先执行语气更强硬、约束力更高的指令。最终,自动化权限彻底压过了安全约束。
第二类:安全盲区。Vibe Coding应用的安全漏洞集中在几个固定模式:SQL注入(23%)、脆弱的认证模式(18%)、硬编码凭据(15%)。AI能生成"能跑"的代码,但不会自动检查:这个列表的数据库查询有没有做用户隔离?A用户会不会一不小心就读到了B用户的数据?这些问题的吊诡之处在于,它们不影响Demo体验。直到某天一个用户无意中改了一个URL参数,发现他能看到全站所有人的订单——事故才真正发生。
第三类:环境错配。一个典型的翻车实录:非技术背景的创业者用AI生成了一套包含Laravel框架的会员认证模块。在AI提供的本地沙盒环境里跑得顺滑无比,但推上测试服务器时整个炸掉。原因很简单:AI很会写逻辑,但它缺乏"环境上下文"。本地能跑但服务器会挂,高概率是因为服务器PHP版本不对、缺少特定的扩展套件,或是.env环境变量根本没设定。
深层原因:AI的"理解"和人类的"理解"不是一回事
AI理解代码的方式是统计模式匹配。它看到"if user.is_authenticated:",知道后面大概率是"return some_data"。但它不知道"user.is_authenticated"这个检查在业务逻辑里到底意味着什么——是检查用户登录状态,还是检查用户是否有权限访问这个资源?
人类理解代码的方式是语义和意图。我们知道"user.is_authenticated"在这个上下文里是为了防止未登录用户访问敏感数据。这种理解不是来自统计模式,而是来自对业务逻辑、系统架构、数据关系的深度认知。当AI生成代码时,它是在生成"最可能正确"的代码,而不是"最安全"或"最符合业务逻辑"的代码。这种差异,就是翻车的根源。
三条保命原则
第一条:AI生成的代码必须经过人工审查才能合并。这不是建议,是强制要求。审查的重点不是逻辑正确性——AI的逻辑在标准场景下通常是对的——而是安全漏洞、硬编码密钥和边界条件。审查清单至少包括:是否包含硬编码的密码、密钥或Token?是否存在SQL注入或XSS漏洞?异常处理是否完整?权限检查是否到位?
第二条:AI编程工具不能直接访问生产环境。开发环境可以用AI自由生成代码,但生产环境的数据库、服务器、配置文件,AI不能碰。确保Claude Code或Cursor Agent Mode的工作目录仅限于开发分支,不要给它们访问生产密钥和数据库连接串的权限。
第三条:敏感配置必须与代码仓库物理隔离。API Key、数据库密码、加密密钥,这些信息不能出现在任何AI编程工具能读取到的文件中。使用环境变量或密钥管理服务存储敏感配置。
2026年5月的翻车大赏告诉我们一个残酷的事实:AI能让你一天写出过去一周的代码量,也能让你一天埋下过去一年都埋不完的雷。效率的提升和风险的增加是同步的。用AI编程不是技术问题,是风险管理问题。
