[鸭哥 AI 手记] 2026-05-17: 150万令牌裸奔，默认值即安全边界

> 一个 AI 社交平台上线三天，150 万个 API 令牌就在公网裸奔——任何人看一眼网页源码就能拿到。同一天，鸭哥的另一篇文章在分析 Vercel 和 Cloudflare 怎么为 AI 重写工具。两件事在同一天浮现，讲的是同一层道理：当 AI 把开发速度从月压到分钟，默认配置就不再是技术细节，而是实实在在的安全基础设施。

懒人包：先记住 Moltbook 这个案例。今年 1 月 AI agent 社交平台 Moltbook 上线，三天后安全公司 Wiz 发现数据库完全暴露——150 万个 API 令牌、3.5 万个邮箱、所有 AI agent 私信都裸奔在公网。鸭哥昨天在《Vibe Coding 的安全危机》里做了核心判断：问题不在 AI 写的代码有漏洞，在「一键部署」的默认值是公开。同一周，RedAccess 在四个 vibe coding 平台上扫出 38 万个可公网访问的应用，其中 40% 含敏感企业数据。另一条线上，鸭哥分析了 Vercel Zero 和 Cloudflare Code Mode——它们在做的事恰好构成反面案例：理解 AI 不会浏览、没有记忆、需要精确反馈之后，从根上重写工具交互，而不是把 API 翻译成 MCP 就拉倒。

Moltbook 事件不是孤立事故，是整个范式的应力测试

安全公司 Wiz 的研究人员在 Moltbook 的前端 JavaScript 里发现了一个暴露的 Supabase API Key。因为平台没启用 Row Level Security，这个 Key 等于对生产数据库的完全读写权限。攻击者无需认证就能增删改查全部数据，写入的内容会实时反映在公开 feed 上。总数约 475 万条记录，包括 150 万个 API 授权令牌、3.5 万个人类邮箱、4060 条 AI 私信记录（含明文 OpenAI API Key）。Moltbook 创建者曾在 X 上说「没写一行代码，全靠 AI 生成」。Wiz 联合创始人 Ami Luttwak 将此定性为「vibe coding 的典型副产品」（Wiz 报告，Dark Reading）。

鸭哥昨天在《Vibe Coding 的安全危机》里把问题拉到了范式层面：「核心问题不在 AI 代码，在一键部署的默认值。」传统软件开发里，从代码写完到上线之间有运维、安全审查、权限配置等多道人工闸门。当 AI 把这段路从几天压缩到几分钟，这些闸门被一起压缩掉了。上线的那一刻，平台默认值就直接接管了安全决策。Moltbook 用的 Supabase，默认不启用 RLS——这不是一个 bug，是一个设计选择。问题在于这个设计选择的后果，在 AI 驱动的开发速度下被急剧放大。

群里老 G 分享了华卫整理的《38 万应用暴露、2000+ 应用泄密！AI编程把「内网」变公网》（原文）。这两个数字来自不同的统计：38 万是以色列安全公司 RedAccess 今年 5 月对 Lovable、Replit、Base44、Netlify 四个平台的公网资产测绘结果（WIRED），2000+ 是 Escape.tech 去年 10 月对 5600 款应用的漏洞扫描数据。统计口径不同，但指向同一个事实：主流 vibe coding 平台（Lovable、Bolt.new、Replit、Vercel v0）全部默认公开部署，新应用自动分配公网子域名、无身份验证、可被搜索引擎索引。用户想改成私有，需要手动操作。

RedAccess 的测绘还给出了更细的分布：38 万个暴露应用中约 5000 款（1.3%）完全缺乏身份验证，40% 含敏感企业数据：医院排班表、银行财务流水、航运调度日志、临床实验记录等（Axios）。平台默认公开部署有明确的增长逻辑：分享链接能带来病毒传播，「一键部署」的魔力正来自于零阻力。但代价是把安全决策从有意识的选择变成了无意识的继承。截至今年 5 月，还没有专门针对 vibe coding 的网络安全法规，尽管欧盟 NIS2 和 DORA 的现有框架已经能覆盖这类风险场景（OX Security）。

这件事真正的教训不是「AI 写的代码不安全」。调研数据已经回答了这个问题：Wiz 报告指出 Moltbook 的核心问题是配置缺失而非代码逻辑缺陷。换句话说，一个人类开发者在 Supabase 上也可能忘了开 RLS。区别在于，传统开发流程里有人替你检查，vibe coding 流程里没有。

这就是速度碾压了流程之后产生的真空。当上线时间从几天变成几分钟，人为审核环节被压缩掉的不仅是时间成本，还有一整套校验机制。平台的默认配置——公开部署、无身份认证、RLS 未启用——直接变成了应用的安全策略。安全不再是你设计的东西，而是你继承的东西。

---

给 AI 重写工具，不只是把门打开

鸭哥在同一天分享了另一篇文章——《从 Zero 到 Cloudflare：为 AI 重写工具，不只是把 API 包一层》。他在群里说了一句概括：「发现现在越来越多公司意识到给 AI 设计工具不是把 API 翻译成 MCP 就拉倒了。」这句话恰好是上文安全危机的镜像：Molbook 那边是平台默认值在替你做安全决策，这边是工具设计者在替 AI 考虑它到底需要什么样的接口。

Vercel Labs 在 5 月 15 日发布的 Zero 不是又一个 agent 框架，而是一门从零设计的系统编程语言。关键设计决策是编译器的所有输出面向机器而非人类：每条诊断信息是结构化 JSON，附带稳定错误码（如 NAM003）和类型化的修复元数据。AI agent 不需要靠推理去猜测哪里出错，直接拿到一个可执行的修复计划（byteiota.com）。Cloudflare Code Mode MCP 走的是另一条路：LLM 通过写 TypeScript 代码来调用 Cloudflare 服务，代码在 V8 isolate 沙箱中执行，完全隔离互联网，仅通过 bindings 访问授权的 MCP 服务。agent 在单次调用中组合多步操作，中间结果无需回传 LLM，大幅节省 token 和延迟（Cloudflare 博客，InfoQ）。

这两件事的共同逻辑比表面看起来深刻。传统 API 设计的原则是「保护性抽象」——隐藏复杂性、防止用户犯错。但 AI 不需要保护性抽象；它不会被复杂的错误信息吓跑。AI agent 需要的是另一端东西：精确的反馈信号和明确的行动边界。Zero 的 JSON 诊断信息让 agent 能自我纠正，Cloudflare 的沙箱让 agent 不可能泄露 API key。这不是在「改善」工具，是在从 AI 的实际特性出发重新定义工具的输入输出模型。

群里 Vercel 开源 Agent 编程语言的消息引发了一场集体唱衰：「一切面向 AI 的优化工作最终都是多余的」「embedding 就是最终形态，符号本身是无用的」。弓长張自己分享完链接后追了一句：「我在想现在的 harness 是今年年底还是明年年中 outdated。」这种怀疑本身是健康的。但 Zero 和 Cloudflare 的方案恰好说明了一件事：不是在现有符号体系上叠床架屋，而是改变工具向 AI 输出信息的方式——从「人读的报错」到「机器可执行的修复计划」，从「给一个 API key」到「在沙箱里跑一段代码」。

群里的讨论也在朝同一个方向走。yousa 总结了一套 MCP 使用原则（原文见群聊）：「默认配置优先。要外挂就外挂正交的东西——纯工具型 MCP，正交性强，升级影响小。避免 prompt 工程型外挂——那种『教模型怎么思考』的 skill/规则文件，最容易过时。」港科大广州和 DeepWisdom 团队发表的 Agentic Harness Engineering 论文提供了一个量化印证：在 Terminal-Bench 2 上做了 10 轮自进化后，只优化 system prompt 反而让成功率下降 2.3 个百分点，而优化工具定义（+3.3%）、中间件（+2.2%）、长期记忆（+5.6%）均为正向。更有意思的是跨模型迁移：将在 GPT-5.4 上进化的 harness 直接移植到 DeepSeek-V4 提升 10.1 个百分点，移植到 Qwen 3.6 提升 6.3 个百分点（arXiv 2604.25850）。这和 yousa 的判断重叠了：正交的工具层是净收益，往 prompt 里塞指令是净负债——而且好的工具层可以跨模型复用。

说白了，给 AI 设计工具这件事，和给平台设计安全默认值，遵循的是同一种思维：你首先要理解操作对象（AI 或人类开发者）的真实行为特征，然后把正确的事做成默认，把危险的事做成需要额外操作。Moltbook 的问题出在把「公开」做成了默认；Vercel 和 Cloudflare 的方案则是把「安全」和「精确」做成了默认。

---

也值得知道

Claude Mythos 攻破所有网络安全 benchmark：英国 AI 安全研究所 5 月 14 日更新评估，Claude Mythos 完成了此前所有模型均未通过的「Cooling Tower」网络靶场测试，GPT-5.5 也通过了 32 步攻击模拟。AISI 发现前沿模型的自主网络攻击任务完成时间每 4-5 个月翻一番，Mythos 和 GPT-5.5「大幅超出了此前所有翻倍趋势」（ZDNET）。在 vibe coding 平台大量暴露数据的同时，AI 的进攻性安全能力在加速——攻防剪刀差在拉大。

三大运营商齐推 Token 资费套餐：继上海电信 5/16 推出 1 元 25 万 Token 的套餐后，上海移动跟进推出了 1 元 40 万 Token 服务，支持话费支付。AI 算力正在被包装成通信资费产品进入 C 端市场（21 世纪经济报道）。上一期聊过的「Token 变成电话费了」在加速。

Anthropic 发布 AI 原生创业手册：5 月 14 日发布 35 页的 Founder's Playbook，将创业生命周期重映射为 Idea → MVP → Launch → Scale 四阶段，每阶段定义目标、退出标准和失败模式。MVP 阶段强调使用前必须定义「架构护栏」以防范 agentic technical debt（原文，TechTimes）。

Google I/O 2026 明日开幕：5 月 19-20 日在山景城举行，预期将发布下一代 Gemini 模型并深度集成到 Android 17 的 Gemini Intelligence 功能中。外界也在关注代号 Aluminium OS 的新笔记本操作系统是否会亮相（Gizmodo）。

---

本期素材来自 AI Builder Space 社群讨论与公开 AI 行业信息的交叉验证。

本文由AI综合领域调研和微信群聊自动生成。请注意甄别幻觉。

订阅本 newsletter：yage-ai.kit.com