⚠️ 一个真实的AI vibe coding恐怖故事
来源: tobru.ch —HN 209 points
标签: Vibe Coding安全医疗数据隐私
📖 事件经过
一位医疗从业者在观看了一个"用AI轻松构建软件"的视频后,决定用AI coding agent为自己构建一个患者管理系统。
后果:系统上线仅几天后,任何人只需30分钟就能获得所有患者数据的完全读写权限。
🔓 安全问题清单
- 数据库零访问控制配置,无行级安全
- 所有"访问控制"逻辑只在客户端JavaScript中(仅凭curl即可绕过)
- 患者数据未加密,完全暴露在开放互联网
- 数据存储在US服务器上,无数据处理协议
- 诊疗对话录音被发送至两个AI服务商进行自动摘要
技术细节
整个应用是一个单HTML文件,JavaScript、CSS全部内联。后端是托管数据库服务,配置完全开放。
⚖️ 法律后果
该从业者很可能违反了瑞士数据保护法(nDSG)及职业保密法规。报告者指出这可能带来严重的法律后果。
💡 教训
AI编程工具让任何人都能"构建"软件,但不代表他们理解自己在构建什么。医疗等敏感领域需要专业的安全审计和合规处理,绝不能仅靠"vibe"。