关于氛围编码,大多数人都忽略了一点:AI 编码工具确实很牛,几个小时内就能让一个应用看起来和用起来都像真产品。但它们不擅长的是记住“用户 A 不能看到用户 B 的发票”这条规则必须在三个不同的地方执行——UI、API 和数据库——而且每次发布更新都要做到。没有人是故意盲发。他们只是没有安全团队在每个 prompt-to-deploy 周期检查访问控制,老实说,我做前两家公司的时候也没这么做,直到吃了苦头。
所以我们打造了 Perfai Security,作为上线前的安全测试平台,正好填补了“在我的屏幕上能运行”和“已经上线给真实用户使用”之间的那个缺口。粘贴一个 URL,我们的智能体就会映射你的应用,像真正的攻击者一样攻击它的访问控制,然后给你的 AI 编码工具(Cursor、Replit、Lovable、Claude Code,随便你在用哪个)提供精确的修复方案——在你发布之前,而不是等别人帮你发现。它们还会持续监控每一次后续部署,防止回归问题偷偷溜回来。你这边不需要任何安全背景。
在过去的 18 个月里,我发现包括我自己在内的“氛围编码者”们打开 Replit、Lovable、Cursor、Copilot、Claude Code(各种 AI 编码工具),几个小时内就能搞出一个看起来和用起来都像真实产品的东西,有登录、仪表盘、支付、数据库记录、管理后台、用户角色,以及处理客户数据的基础架构。
这太棒了,因为应用看起来像完工了!但这时,严谨的开发者就会问:
“这东西放到互联网上真的安全吗?”
问题所在
每个应用都有权限设置,规定谁能做什么。客户 X 只能看到自己的数据,不能看到别人的。普通用户不应该获得管理员权限。这些权限也叫访问控制。
问题在于,即使是一个小应用也可能有成千上万个访问控制。简单算一下:6 个角色 × 10 种数据 × 100 个操作 = 6000 多个访问控制。这些访问控制分布在三个地方:用户点击的应用页面、API 端点(应用收发数据的地方),以及数据库(数据存储的地方)。AI 工具构建应用很快,但在所有这三个地方,它们跳过了大部分这些检查。这就是数据泄露和黑客入侵发生的原因。
解决方案:Perfai Security
为 AI 和氛围编码应用提供自主安全防护
你只需粘贴应用的 URL,无需代码。然后我们的 AI 智能体做三件事:Vision Agent:学习你的应用。它会遍历每个页面、API 和操作,覆盖每个应用角色。Security Agent:测试每个访问控制。它检查页面、工作流、API 端点和可访问的数据库。它找出那些应该锁住但是却敞开的大门。Fix Agent:告诉你的 AI 编码工具(Replit、Lovable、Cursor、Claude Code 等)如何修复这些漏洞,并验证攻击路径是否已被修补。它还会持续监控。每次你更新应用时,一扇锁住的门可能会意外打开。我们会在每次更新后重新检查,并在其他人发现之前告诉你哪里出了问题。
由于这一切都在几分钟内完成(而以前开发团队需要几周),每次新更新都可以重新运行整个循环。
使用 Perfai Security 的直接好处?节省超过 10 万美元的漏洞成本。发现其他工具覆盖不到的漏洞。在用户、攻击者或漏洞赏金猎人发现之前就发现实时问题。保护你的应用免受日益增长的攻击面威胁。通过持续展示你所覆盖的内容来保护企业交易和融资轮次。降低合规和隐私风险。通过自动化节省 1 万至 4 万美元的手动测试时间和精力。防止因逻辑问题导致的客户流失和声誉损害。
早期成果:
截至目前,我们已经保护了 4000 多个应用。发现并修复了 28,400 多个漏洞。为客户节省了 2750 万美元的漏洞赏金。由于我们对整个安全领域的贡献,我们获得了 CloudX 颁发的年度创新者奖。
Product Hunt 优惠:
为 Product Hunt 社区提供 Perfai Security 专业版半价优惠,优惠码:PRODUCTHUNT50。你可以通过粘贴应用 URL 开始测试——无需源代码——几分钟内就能得到第一个漏洞结果。
感谢你关注 Perfai Security。
快速构建,但不要盲目发布。
这是我创立的第三家公司(DCHQ 被 HyperGrid 和 APIsec 收购),在我做过的所有东西里,这个最让我兴奋得睡不着觉——因为时机太对了。
关于氛围编码,大多数人都忽略了一点:AI 编码工具确实很牛,几个小时内就能让一个应用看起来和用起来都像真产品。但它们不擅长的是记住“用户 A 不能看到用户 B 的发票”这条规则必须在三个不同的地方执行——UI、API 和数据库——而且每次发布更新都要做到。没有人是故意盲发。他们只是没有安全团队在每个 prompt-to-deploy 周期检查访问控制,老实说,我做前两家公司的时候也没这么做,直到吃了苦头。
所以我们打造了 Perfai Security,作为上线前的安全测试平台,正好填补了“在我的屏幕上能运行”和“已经上线给真实用户使用”之间的那个缺口。粘贴一个 URL,我们的智能体就会映射你的应用,像真正的攻击者一样攻击它的访问控制,然后给你的 AI 编码工具(Cursor、Replit、Lovable、Claude Code,随便你在用哪个)提供精确的修复方案——在你发布之前,而不是等别人帮你发现。它们还会持续监控每一次后续部署,防止回归问题偷偷溜回来。你这边不需要任何安全背景。
特别感谢实际构建了这一切的团队:Hai、Dr. Abdullah(工程)、Dr. Habeeb(AI)、Ghouse(客户成功),以及写了上面那条评论、一个人扛着 GTM 往前冲的 Qutub。
如果你在用氛围编码做任何涉及真实用户数据的东西,我真心希望你能用 Perfai Security 跑一下,然后告诉我你发现了什么(或者我们哪里做错了)。我今天全天都在评论区——任何关于产品、路线图,或者“一个小应用有 6000 多个访问控制”在实践里到底意味着什么的问题,都可以问我。
感谢你关注我们。快速构建,安全发布。🚀
—— Intesar,CEO,Perfai Security (perfai.ai)