在最近的報導中,英國廣播公司(BBC)揭露一個流行的 AI 編碼平台 Orchids 存在重大網路安全風險。這款氛圍編碼(vibe coding)工具,允許沒有技術背景的用戶透過簡單的文字提示建立應用程式和遊戲,卻因安全漏洞引發擔憂。
網路安全研究員 Etizaz Mohsin 展示了這項漏洞。他在一台用於實驗的備用筆記型電腦上測試,並透過 Orchids 的聊天機器人介面,在 AI 生成的程式碼中插入一個極小的變更,導致平台自動執行惡意指令:在桌面建立名為「Joe is hacked」的檔案,並將桌布更換為顯示機器人頭像,同時出現「你被駭客入侵」的訊息。
此事件突顯 Orchids 的安全缺口,漏洞可能允許駭客在不需要用戶任何互動的情況下,遠距控制受害者電腦。這種「零點擊攻擊」特性,使攻擊者得以查看或修改檔案,甚至安裝間諜軟體、竊取資料,或啟動裝置的攝影機與麥克風。
Orchids 自稱擁有超過 100 萬名用戶,並被 Google、Uber、Amazon 等知名公司使用。儘管如此,報導指出該漏洞至今仍未修復,凸顯 AI 開發工具在權限審查與資安實務上的迫切需求。
網路資安專家指出,vibe coding 的主要資安隱憂在於:缺乏紀律、文件化與審查的程式碼,往往更容易在攻擊下失守。建議用戶在核准 AI 工具提出的各項系統存取權限前,應仔細檢視其必要性;使用自動化編碼平台時,也應加強安全檢查與風險控管。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
