"Just Fucking Ship It" (Or: On Vibecoding)
10 months ago
- #privacy
- #app-development
- #security
- 作者参加了一场黑客马拉松,期间接触到一个名为Mentora的AI辅导应用,该应用后来演变成名为Pandu的社交媒体应用。
- Pandu的iOS应用被解密分析后,发现其客户端直接处理OpenAI的API密钥和系统提示词,存在安全隐患。
- 虽然使用Supabase作为后端,但由于配置错误导致数据库关系可被未授权访问,大量敏感用户数据遭到泄露。
- 泄露数据包括用户资料、推送通知令牌、聊天请求和实时地理位置信息,引发了严重的隐私担忧。
- 该应用的架构设计存在缺陷,允许攻击者发送任意推送通知并获取用户隐私信息。
- 近万名用户(包括未成年人)注册了Pandu,由于糟糕的安全措施,他们的个人数据全部暴露在风险中。
- 应用开发者Christian因能力不足和鲁莽行事受到批评,该应用存在重大隐私风险。
- 鉴于平台危险性,建议用户停止支持该应用,进行举报,并帮助亲友从平台撤离。