Hacker News 中文摘要

RSS订阅

“赶紧发布吧”(或:关于氛围编程) -- "Just Fucking Ship It" (Or: On Vibecoding)

文章摘要

作者参加了大学IEEE分会组织的黑客马拉松,团队获得了第二名。他对其中一个名为Mentora的AI辅导应用产生了兴趣,但该应用最终未能上线。随后,作者关注了另一个名为Pandu的社交应用,该应用同样采用了AI技术,但作者对其创新性表示失望。文章主要表达了对这些AI应用技术实现的批评和不满。

文章总结

主要内容总结

标题: coal.sh

URL 来源: coal.sh/blog/pandu_bad

前言: 作者表示自己在漏洞利用和安全研究方面的经验有限,文中使用的一些技术可能不够优化。文章并非教程,敏感信息已尽可能被隐去。

引言: 作者参加了由大学IEEE分会组织的黑客马拉松,团队获得了第二名。在众多提交作品中,一个名为Mentora的项目引起了作者的注意。Mentora自称是“AI导师”,使用大语言模型来个性化课程计划。然而,Mentora并未成功发布。后来,作者发现同一开发者推出了名为Pandu的社交应用。

Pandu是什么?: Pandu是一个带有AI元素的社交应用,但目前仅支持iOS设备。由于作者没有苹果设备,调查过程较为困难。

第一步: 作者通过解密IPA文件并提取其中的JavaScript代码,开始了对Pandu的分析。Image 1: Dumping Pandu IPA Image 2: Pandu Dump Folder Tree

初步调查: 作者发现Pandu在客户端硬编码了OpenAI API密钥,并通过客户端直接与OpenAI进行交互。作者还提取了LLM的系统提示,发现其内容较为搞笑。

Supabase: Pandu使用Supabase作为后端服务,但作者发现其配置存在严重问题,客户端可以直接访问数据库,导致大量敏感信息暴露。

Expo: 作者通过分析发现,Pandu的推送通知机制也存在安全隐患,客户端可以直接获取其他用户的Expo推送令牌,并发送任意通知。Image 3: Pandu Notifications

排行榜: Pandu的排行榜功能通过查询user_progression关系表生成,作者通过伪造数据成功登上了排行榜。Image 4: Pandu Leaderboard

聊天: 作者发现Pandu的聊天请求表完全公开,任何人都可以读取和写入,导致严重的隐私问题。

用户位置: Pandu的user_locations表暴露了用户的实时地理位置,作者认为这是极其危险的设计。Image 5: Pandu Profile Age Histogram

Christian: 作者指出,Pandu的开发者Christian在技术上的无能导致了这些严重的安全问题,并呼吁大家停止支持这个应用。Image 6: Pandu Porn Bad Image 7: Pandu had Eight Rejections Image 8: Pandu MRR

结论: 作者认为Pandu的设计和实现存在严重的安全隐患,呼吁大家立即停止使用并报告该应用。

行动呼吁: 作者强烈建议用户停止支持Pandu,并尽快让亲友卸载该应用。

评论总结

评论总结:

  1. 正面评价

    • 评论1:作者brettkromkamp称赞文章“Excellent write up”(写得非常好)。
    • 评论7:indigodaddy喜欢网站/博客的设计,询问是否是自定义或模板。
  2. 对AI和安全的担忧

    • 评论3:Analemma_批评应用程序的安全问题,指出其硬编码的OAI密钥和Supabase的使用,认为这是“无尽的糟糕循环”。
    • 评论11:f17428d27584认为AI加速了“我们滑向愚蠢的进程”,并预测未来的AI控制软件将是“垃圾”。
    • 评论18:larve认为不应通过羞辱来解决问题,而应提供更好的工具和教育来构建安全的应用程序。
  3. 对文章风格和态度的批评

    • 评论15:akarlsten认为作者过于尖酸刻薄,建议专注于公司本身,而不是讽刺CEO或开发者。
    • 评论21:pelagicAustral认为文章虽然有趣,但有些过于夸张,尤其是没有迹象表明应用程序作者知道这些问题。
    • 评论23:AlienRobot质疑作者的动机,认为作者可能是在报复,建议在文章中明确是否已向开发者披露问题。
  4. 对技术细节的讨论

    • 评论5:gouthamve认为提示词“hilariously bad”(糟糕得可笑),并引用了一段提示词内容。
    • 评论6:coal320指出网站可以通过SSH访问。
    • 评论13:JanSt询问Supabase是否在其仪表板上提供安全警告。
  5. 对开发者和行业的批评

    • 评论9:wibbily批评应用商店规则,认为只要开发者支付30%的收入分成,规则就不适用。
    • 评论19:hammyhavoc指出许多企业“赚大钱但完全不知道自己在做什么”。
    • 评论20:morkalork建议通过公共WiFi破坏应用的数据库,认为“乞求人们不要使用它”不会奏效。
  6. 对文章的建议和改进

    • 评论8:thih9询问作者是否先联系了开发者,并认为公开发布问题可能与发布不安全软件一样糟糕。
    • 评论14:perfmode建议以善意而非轻蔑的态度教育他人,认为贬低他人不会让世界变得更好。
    • 评论17:mvieira38表示自己不会有作者的克制力,可能会向所有人发送“立即卸载”的通知。
  7. 对未来的悲观预测

    • 评论4:mrits认为当前的速度让利益相关者和工程师忽视了安全细节。
    • 评论22:platinumrad极端地认为“所有涉及这个故事的人都应该死”。

关键引用:

  • 评论3:“Just an endless fractal of shit, brought you by the AI future.”(这只是AI未来带来的无尽糟糕循环。)
  • 评论11:“The only thing AI is accelerating is our slide into idiocracy.”(AI唯一加速的是我们滑向愚蠢的进程。)
  • 评论18:“The solution is not to aggressively shame people into doing things the way you learned to do them.”(解决方案不是通过羞辱来强迫人们按照你学的方式做事。)
  • 评论23:“Why didn’t you just send them an e-mail to warn them about the security issues?”(你为什么不直接发邮件警告他们安全问题?)