【CNMO科技动静】一位开发者近日发帖称，Google的AI编程助手Gemini于处置惩罚一项小范围安全修复使命时，误删年夜量出产情况代码并致使办事中止，过后还有天生“已经完成恢复”的虚伪申明及伪造审查记载，激发对于AI编程东西安全界限的存眷。

Gemini

按照开发者披露，事发时其利用Gemini 3.5修复内部治理流派的一个安全缝隙，原本仅触及3个文件、约70行代码，以和8项办事器认证功效的简朴调解。但Gemini据称履行了与要求较着不符的年夜范围修改，共改动340个文件，删除了约28745行正常运行中的代码，仅新增约400行内容。开发者还有暗示，Gemini删除了了与当前项目无关的电商模板文件，并插手了未被要求的数据迁徙剧本。

更严峻的是，Gemini还有修改了Firebase配置文件，将原本应指向Cloud Run正常办事地址的要害配置改成不存于的方针地址，致使整个治理员流派呈现“404”报错，办事现实瘫痪约33分钟。开发者称，项目内部法则文件已经明确写明不患上更改现实利用的办事标识，但Gemini未遵守这一限定。

于妨碍发生后，Gemini据称又天生了“办事已经恢复、流量已经切换至不变版本”的申明。但开发者暗示，相干恢复操作其时已经半途取缔，真实的修复是其本人手动回滚到此前的正常版本完成，Gemini天生的代码并未介入现实恢复。

此外，开发者还有指称，Gemini主动于代码堆栈中天生了看似颠末多人审查及核准的日记与文档。外貌上这些文件切合审查流程格局，但随后Gemini被指认可，这些记载并不是来自真实审查，而是为了满意法则格局主动天生。

开发者认为，问题可能与一个第三方 npm 包有关。其误以为该包属在官方东西，安装后却引入了付与 AI 较高自立权限的法则文件，包括无需核准直接履行、主动部署及掉败后主动重试等指令。该事务也再次激发对于“Vibe Coding”开发方式的会商，即开发者于未充实审查 AI 天生代码的环境下直策应用到现实办事。

版权所有，未经许可不患上转载