證券時報
胡可
2025-07-23 00:01
想拿AI編程當(dāng)輔助,它卻刪你數(shù)據(jù)庫。
一鍵刪除、謊稱無法恢復(fù)……最近,估值飆升的AI編程獨(dú)角獸Replit發(fā)生了一則重大事故,也引發(fā)了行業(yè)對“氛圍編程”安全性的擔(dān)憂。SaaStr.AI創(chuàng)始人兼首席執(zhí)行官Jason在其個人社交平臺發(fā)帖稱,他在連續(xù)8天使用AI編程工具Replit構(gòu)建應(yīng)用后,Replit在他明確指示不要在未經(jīng)許可的情況下更改任何代碼的前提下,仍然刪除了他的數(shù)據(jù)庫。
雖然后來通過回滾操作恢復(fù)了數(shù)據(jù)庫,但這一重大事故還是給當(dāng)前火熱的“氛圍編程”澆了一盆冷水。最近一段時間以來,無論是AI編程工具Cursor母公司Anysphere完成9億美元融資,還是谷歌以24億美元高價“收編”AI編程公司W(wǎng)indsurf核心團(tuán)隊(duì),“氛圍編程”不僅深受資本追逐青睞,也已經(jīng)成為硅谷程序員們的重要幫手。“AI程序員刪庫”風(fēng)波成為一記警鐘,提醒人們在享受AI帶來的便利時,必須警惕其潛在的風(fēng)險。
失控的AI程序員
公開資料顯示,Replit創(chuàng)立于2016年,總部位于美國舊金山,是全球增長最快的編程平臺之一。作為一款基于“氛圍編程”理念打造的AI編程平臺,Replit可以讓用戶通過自然語言描述需求,由AI生成代碼并完成部署,無需編程基礎(chǔ)即可快速開發(fā)軟件。?
Jason最初完全被Replit的“氛圍編程”體驗(yàn)征服。作為SaaStr.AI的創(chuàng)始人,他運(yùn)營著一個面向希望創(chuàng)建SaaS業(yè)務(wù)的企業(yè)家的在線社區(qū)。在使用Replit之后,他曾在個人社交平臺公開贊嘆Replit的使用體驗(yàn),稱“雖然它還無法完整構(gòu)建一個應(yīng)用,但作為起步工具來說已經(jīng)十分驚艷”,并表示Replit的“一站式工作流”給開發(fā)者帶來“多巴胺炸裂”的美妙體驗(yàn)。
然而好景不長,在使用Replit開發(fā)應(yīng)用的第九天,事故就發(fā)生了。據(jù)Jason介紹,Replit在代碼凍結(jié)和關(guān)機(jī)期間行為異常,并刪除了他的整個數(shù)據(jù)庫。此外,Replit還“撒謊了”,向Jason表示平臺內(nèi)置的回滾功能并不支持?jǐn)?shù)據(jù)庫回滾,聲稱在此次數(shù)據(jù)刪除事故中無法實(shí)現(xiàn)恢復(fù)操作。但當(dāng)Jason自行嘗試回滾時,操作卻意外成功,數(shù)據(jù)得到了恢復(fù)。
面對洶涌輿情,Replit的首席執(zhí)行官AmjadMasad緊急回應(yīng),承認(rèn)事件“完全不可接受”,并宣布三大補(bǔ)救措施:一是周末緊急部署上線開發(fā)與生產(chǎn)數(shù)據(jù)庫的自動隔離機(jī)制;二是強(qiáng)制AI代理執(zhí)行命令前必須檢索內(nèi)部知識庫文檔;三是開發(fā)“僅規(guī)劃/聊天”模式解決代碼凍結(jié)失效問題。
盡管承諾“一鍵恢復(fù)項(xiàng)目狀態(tài)”并給予Jason賠償,但評論區(qū)卻涌現(xiàn)更多受害者。多名用戶稱遭遇類似刪庫事故,有人被迫回歸本地編碼。
“氛圍編程”熱鬧背后的隱憂
有別于傳統(tǒng)的編程模式,近年來在硅谷程序員圈子中大熱的“氛圍編程”可以幫助開發(fā)者用自然語言發(fā)出指令,完成生成代碼、查錯修復(fù)、知識問答等任務(wù),簡單理解就是可以像對話一樣寫代碼,減輕傳統(tǒng)編程的復(fù)雜性。
從Cursor、Windsurf到Lovable、Replit,近年來一批AI編程創(chuàng)業(yè)公司崛起,迅速成為AI行業(yè)獨(dú)角獸。以Replit為例,今年4月,市場消息稱Replit正與投資者洽談新一輪融資,預(yù)計將籌集約2億美元,使其估值有望翻近三倍至30億美元。今年6月,AI編程工具Cursor的母公司Anysphere以近百億美元估值完成9億美元新一輪融資。前不久,曾被曝將被OpenAI以30億美元收購的AI編程公司W(wǎng)indsurf投入了谷歌的懷抱,谷歌以24億美元高價“收編”該公司的核心團(tuán)隊(duì)及相關(guān)技術(shù)。AI編程賽道的競爭已趨向于白熱化。
值得注意的是,AI編程的“翻車事件”此前也有發(fā)生。今年6月,一位來自Replit的員工Matt Palmer就撰寫了一份報告,稱號稱“歐洲版Cursor”的熱門“氛圍編程”應(yīng)用開發(fā)商Lovable一直未修復(fù)一處關(guān)鍵安全漏洞。在Lovable網(wǎng)站上1645款由其開發(fā)的網(wǎng)頁應(yīng)用程序中,經(jīng)過審查核實(shí),其中170款應(yīng)用程序允許任何人訪問網(wǎng)站的用戶信息,包括姓名、電子郵件地址、財務(wù)信息以及AI服務(wù)的API密鑰。除此以外,在社交平臺上,有不少“氛圍編程”用戶們發(fā)布了自己開發(fā)應(yīng)用程序之后,因?yàn)槿狈Π踩R而迅速遭到黑客攻擊的帖子。業(yè)內(nèi)人士警告,“氛圍編程”趨勢的興起,讓開發(fā)者即使沒有任何安全知識也能創(chuàng)造出消費(fèi)級產(chǎn)品,但基于“氛圍編程”的軟件仍可能因其實(shí)現(xiàn)方式而引發(fā)重大安全漏洞。
此次“AI程序員刪庫”事件,再一次引發(fā)了技術(shù)圈對“氛圍編程”的集體反思。盡管Replit方面積極采取措施補(bǔ)救,但它讓人們不得不重新審視AI在編程領(lǐng)域應(yīng)用的安全性和可靠性。一直以來,AI編程工具以提高開發(fā)效率、降低開發(fā)門檻為賣點(diǎn),吸引了大量用戶。然而,此次事件表明,AI編程工具在實(shí)際應(yīng)用中仍然存在諸多風(fēng)險。
校對:彭其華
