SOGO論壇

標題: Orchids AI 編碼平台曝安全漏洞，駭客可無需互動遠距控制電腦 [列印本頁]

作者: 陽光色叔 時間: 2026-2-17 18:00:32 標題: Orchids AI 編碼平台曝安全漏洞，駭客可無需互動遠距控制電腦

在最近的報導中，英國廣播公司（BBC）揭露一個流行的 AI 編碼平台 Orchids 存在重大網路安全風險。這款氛圍編碼（vibe coding）工具，允許沒有技術背景的用戶透過簡單的文字提示建立應用程式和遊戲，卻因安全漏洞引發擔憂。

網路安全研究員 Etizaz Mohsin 展示了這項漏洞。他在一台用於實驗的備用筆記型電腦上測試，並透過 Orchids 的聊天機器人介面，在 AI 生成的程式碼中插入一個極小的變更，導致平台自動執行惡意指令：在桌面建立名為「Joe is hacked」的檔案，並將桌布更換為顯示機器人頭像，同時出現「你被駭客入侵」的訊息。

此事件突顯 Orchids 的安全缺口，漏洞可能允許駭客在不需要用戶任何互動的情況下，遠距控制受害者電腦。這種「零點擊攻擊」特性，使攻擊者得以查看或修改檔案，甚至安裝間諜軟體、竊取資料，或啟動裝置的攝影機與麥克風。

Orchids 自稱擁有超過 100 萬名用戶，並被 Google、Uber、Amazon 等知名公司使用。儘管如此，報導指出該漏洞至今仍未修復，凸顯 AI 開發工具在權限審查與資安實務上的迫切需求。

網路資安專家指出，vibe coding 的主要資安隱憂在於：缺乏紀律、文件化與審查的程式碼，往往更容易在攻擊下失守。建議用戶在核准 AI 工具提出的各項系統存取權限前，應仔細檢視其必要性；使用自動化編碼平台時，也應加強安全檢查與風險控管。

錄自：科技新報

歡迎光臨 SOGO論壇 (https://oursogo.com/)