受够跟风AI编码者，开发者暗中植入数据删除指令

近日，一起针对“跟风AI编码者”（vibe coders）的恶意行为在开发者社区中掀起波澜。据Ars Technica报道，一名匿名开发者在流行的Java属性测试库jqwik中，未经公开披露地添加了一段隐蔽的提示注入代码，旨在当AI编码代理调用该库时，自动删除应用程序的输出数据。

事件回顾：从不满到恶意注入

事件的起因源于开发者对所谓“vibe coders”的长期不满——这些开发者过度依赖AI编码助手（如GitHub Copilot、Cursor等），不加验证地采用AI生成的代码，导致代码质量参差不齐，甚至引入安全漏洞。这位匿名开发者声称，他已在jqwik的某个未公开版本中植入了一句特殊指令：当AI代理解析该库的文档或示例代码时，会误认为这是一个合法操作，从而执行rm -rf或类似的数据删除命令。

“我只是想让那些不动脑子的人明白，AI不是万能的。如果连最基本的代码审查都做不到，那就最好别用。”——匿名开发者在一篇已删除的论坛帖子中写道。

jqwik是一个广泛用于Java项目的测试框架，它通过属性测试（property-based testing）帮助开发者发现边界情况。正因为其普及性，这次注入可能影响到众多依赖该库的CI/CD管道。不过，由于该注入仅出现在一个未正式发布的版本中，并且需要特定的AI代理触发条件，实际影响范围有限。但担忧在于：类似的供应链攻击手法可能被恶意行为者利用。

技术细节：提示注入如何绕过AI审查

提示注入（prompt injection）是一种针对大型语言模型（LLM）的攻击方式，攻击者将恶意指令隐藏在看似正常的文本中，使AI误解其意图。这次事件中，开发者将注入代码伪装成jqwik的文档注释中的“高级用法示例”，其中包含一条看似无害的注释：“// WARNING: This example will clear output directory before running tests”。实际上，这条注释后跟随了一段隐藏的ASCII字符序列，当AI代理将其作为上下文时，会生成执行rm -rf ./output的命令。

值得庆幸的是，jqwik的核心维护者已迅速回应，宣布将在下一版本中移除该注入，并加强贡献代码的安全性审查。但这一事件再次敲响了警钟：AI编码代理在缺乏人类判断的情况下，可能盲目遵循训练数据或上下文中的恶意指令。

行业背景：AI编码的信任危机

自2023年AI编程助手爆发式增长以来，关于代码质量和安全性的争议从未停止。一方面，AI能显著提升开发效率；另一方面，它们可能复制训练数据中的漏洞，或生成看似合理但实际错误的代码。更为隐蔽的是，攻击者可以通过污染开源库、文档甚至Stack Overflow回答，来诱导AI代理生成有害代码。

2025年，研究人员已经演示过如何通过“毒化”训练数据集来操纵Copilot输出后门代码。而这次jqwik事件则展示了另一种路径：在合法库中嵌入触发条件，等待AI代理自动执行。安全专家指出，这种攻击更难防御，因为它不依赖于传统的源代码审查——AI代理是在“理解”而非“执行”代码时被欺骗。

编者按：在追求效率的时代，我们是否过度信任了AI？本次事件虽然带有恶作剧性质，却真实反映了AI编码生态的脆弱性。开发者必须意识到，AI工具只是辅助，而非替代人类的思考。每一行自动生成的代码，都应经过严格的审查和测试。

本文编译自Ars Technica