歌手胡彦斌最近搞了个大新闻——他亲手用AI编程工具Trae开发了一款名为“彦火”的App,并在微博上高调宣布这是自己第一次从零学vibe coding、反复打磨一个多月的结果。评论区一片叫好,甚至有人调侃“程序员要失业了”。但当我们深入体验这款App后,发现事情没那么简单:它既是AI Native的典范,也是安全漏洞的教科书案例。
从技术角度看,“彦火”采用了Flutter跨端框架和后端阿里云Node服务,整体视觉和交互都透着浓浓的“AI原生”味道。然而细节暴露了新手开发的痕迹:注册时昵称框只能输入数字,许愿页的提示文案“这里只有树。(不超过600字)”被误认为正文,诸如此类的“Native AI”问题比比皆是。但这并非重点,真正令人担忧的是安全层面的“裸奔”——登录页输入手机号后直接发送验证码,没有滑块或图形验证码;头像、昵称、简介等UGC内容几乎零审核,评论和许愿树内容可随意发布并立即公开;上传图片直接暴露文件地址且无防盗链;短信验证码接口更是毫无防护,一个请求就能触发,仅对同一手机号做了60秒限制,换号即可绕过。
这些漏洞在专业开发者眼中或许不值一提,但对于明星跨界作品而言,风险却是实打实的。短信轰炸、内容违规、恶意图片上传等攻击场景并非危言耸听。胡彦斌的初衷是为粉丝打造一个专属空间,这份热情值得肯定,但安全是产品的生命线。建议所有vibe coder,尤其是非技术背景的创作者,在追求“快速上线”的同时,务必补上安全这一课——至少加入验证码、内容审核和接口防护。毕竟,一个漏洞百出的“明星作品”,可能比不写代码更危险。
未来,AI工具让编程门槛大幅降低,但安全意识和工程素养仍需培养。胡彦斌的尝试是一个积极的信号,但技术圈不应只关注“跨界”的噱头,更要关注产品背后的责任。希望更多创作者能从中吸取教训,让AI赋能真正安全可靠的创新。