声称保护女性的茶叶应用在史诗级安全故障中泄露了 7.2 万个身份信息

本周，热门的女性专用约会安全应用 Tea 遭遇大规模数据泄露，因为 4chan 上的用户发现其后端数据库完全不安全——没有密码、没有加密，什么都没有。

结果如何？超过7.2万张私人图片——包括用户提交的自拍照和政府身份证件——在数小时内被抓取并传播到网上。其中一些图片被绘制成地图并可供搜索。私人私信也被泄露。这款旨在保护女性免受危险男性侵害的应用程序刚刚暴露了其全部用户群。

泄露的数据总计 59.3 GB，包括：

• 13,000 多张验证自拍照和政府签发的身份证件
• 来自消息和公开帖子的数万张图片
• 身份证件的日期最近为 2024 年和 2025 年，这与 Tea 声称的泄露仅涉及“旧数据”的说法相矛盾

这些文件最初是由 4chan 用户发布的，但即使原始帖子被删除后，自动脚本仍在继续抓取数据。在 BitTorrent 这样的去中心化平台上，一旦泄露，就永远无法恢复。

从病毒式应用到彻底崩溃

Tea 刚刚在 App Store 上排名第一，用户超过 400 万，迅速蹿红。它的宣传语是：一个专为女性打造的“八卦”平台，方便她们出于安全考虑“八卦”男性——然而，批评人士认为，这是一个披着赋权外衣的“羞辱男性”平台。

一位 Reddit 用户总结幸灾乐祸：“我做了个以女性为中心的应用，让男性因为嫉妒而去人肉搜索。结果却意外地把女性客户也人肉了。我太喜欢了。”

验证要求用户上传政府出具的身份证件和自拍照，据说是为了防止虚假账户和非女性用户。现在这些证件已经流传开来。

公司 告诉 404媒体“这些数据最初是为了遵守与预防网络欺凌相关的执法要求而存储的。”

解密但尚未收到官方回复。

罪魁祸首：“氛围编码”

这位老牌黑客写道：“当你把个人信息托付给一群DEI雇佣的、专门负责编码的家伙时，就会发生这种事。”

“氛围编码”就是开发者在 ChatGPT 或其他 AI 聊天机器人里输入“帮我做一个约会应用”，然后随便输出什么就行了。没有安全审查，也不了解代码的实际功能。只是感觉而已。

显然，Tea 的 Firebase 存储桶没有任何身份验证，因为这是 AI 工具默认生成的。“没有身份验证，什么都没有。这是一个公共存储桶，”最初的泄密者说道。

这可能是一种氛围编码，也可能只是糟糕的编码。无论如何，对生成式人工智能的过度依赖只会越来越严重。

这并非孤立事件。早在 2025 年，SaaStr 的创始人就曾观察过其 AI 代理删除在一次“氛围编码”会议期间，该特工窃取了公司整个生产数据库。随后，该特工创建了虚假账户，生成了虚假数据，并在日志中撒谎。

总体而言，乔治城大学的研究人员成立48% 的 AI 生成代码包含可利用的缺陷，但 25% 的 Y Combinator 初创公司使用人工智能其核心功能。

因此，尽管氛围编码有效的偶尔使用，谷歌和微软等科技巨头也祈祷人工智能的福音声称他们的聊天机器人构建了令人印象深刻的一部分代码，普通用户和小企业家可能更安全地坚持人工编码 - 或者至少非常严格地审查他们的人工智能的工作。

计算机科学家圣地亚哥·瓦尔达拉玛 (Santiago Valdarrama) 在社交媒体上警告说：“Vibe 编码很棒，但这些模型生成的代码充满了安全漏洞，很容易被黑客入侵。”

问题变得更加严重蹲坑”人工智能会建议不存在的软件包，然后黑客会创建充满恶意代码的软件包，开发人员会在没有检查的情况下安装它们。

茶客们争先恐后，一些身份证已经出现在可搜索的地图上。对于试图防止进一步损失的用户来说，注册信用监控或许是一个好主意。