AI寫程式出包!超商即期品App「惜食獵人」爆資安問題,家中GPS全裸奔
最近有一款AI生成,號稱整合台灣超商即期品地圖的「惜食獵人」App,爆發外洩用戶GPS的資安問題。亞馬遜等企業近期也因依賴AI寫程式引發大當機與 178 萬美元壞帳,凸顯人類工程師把關的絕對必要性。
惜食獵人App整合超商即期品,引發API授權質疑
一位自稱專注於 AI 產品開發與個人 IP 增長的人士,近日在 Threads 平台發文宣布推出 App「惜食獵人」App,標榜能整合 7-11 統一超商與全家便利商店的即期品地圖,主要功能是附近即時庫存查詢以及關鍵字到貨通知。
該開發者指出,惜食獵人 App 全程使用 AI 輔助開發,耗時約 2 週。 雖然提供免費下載且提供基本功能,但也推出去除廣告與進階功能的付費方案,包含限時特價 190 元的年方案。
這篇貼文已在 Threads 吸引 1.2 萬次觀看,但也引發多位網友質疑其 API 授權正當性。
有網友就質疑,惜食獵人 App 是否取得官方 API 授權,並警告若未經授權抓取資料,超商官方只要更改 Token 設定就會讓功能停擺。
另有網友從商業競爭角度分析指出,台灣超商近年將推動 App 會員數視為關鍵績效指標,將即期品庫存數據整合進系統的目的在於衝高會員數與使用率。若第三方 App 瓜分流量並與官方利益衝突,極有可能遭到官方出手封殺。
目前已有網友將相關資訊發信至官方,但截至 3 月 27 日上午撰稿時,7-11與全家便利商店尚未公開對惜食獵人 App 發表評論。
工程師揭惜食獵人App資安問題,家裡GPS座標全裸奔
除了 API 授權爭議,惜食獵人 App 背後還有資安疑慮。
Zeabur.app 工程師 Yi-Jyun Pan 近日先後發文提醒,大眾應暫停使用該惜食獵人 App。
他指出,只要用了這個 App 並分享了位置,你家裡的精確 GPS 座標就會被寫進去資料庫,然後不幸的裸奔在公網上。
雖然開發者有根據建議修補問題,但經重新稽核後,Yi-Jyun Pan 發現開發者只修了一半,資安風險依然存在。
Yi-Jyun Pan 指出,由於這是依賴 AI 生成的產品,系統保護極不完善。若使用者擔憂資安問題,在刪除惜食獵人 App 前需採取正確步驟,應先刪除所有關鍵字追蹤及關注門市紀錄,讓對應的座標資訊同步清除,最後再解除安裝 App。
Yi-Jyun Pan也對開發者提出三項忠告,首先 App 是一種前端不是後端,若只依賴前端做資源上的保護,那不叫保護,隱私權政策也需要詳實記載。開發者絕對不能盲目相信 AI 作法,業務邏輯仍需仰賴人類審核。
AI寫程式成雙面刃,亞馬遜與Moonwell付出慘痛代價
過度依賴 AI 寫程式、缺少審查而引發的災情時有所聞,甚至連大型企業都躲不過。
近日《Business Insider》才報導,亞馬遜電子商務網站在 2026 年 3 月經歷嚴重系統中斷,內部調查將「部分原因」歸咎於亞馬遜 AI 程式碼助理:Amazon Q Developer。
亞馬遜電子商務服務高級副總裁 Dave Treadwell 在內部文件中指出,自 2025 年第三季起事件發生頻率呈現上升趨勢。其中 3 月 2 日的異常導致交貨時間顯示錯誤,造成約 12 萬筆訂單流失與 160 萬次網站錯誤。
亞馬遜為此宣布實施 90 天安全重置,要求工程師更動程式碼前須取得雙人審查。
圖源:Amazon 亞馬遜 AI 程式碼助理:Amazon Q Developer
區塊鏈去中心化金融(DeFi)領域也面臨相同挑戰。知名借貸協議 Moonwell 在 2 月發生預言機配置錯誤,導致代幣報價暴跌,引發清算機器人套利並造成 178 萬美元壞帳。
區塊鏈安全會計師 Pashov 檢視該專案後發現,造成漏洞的程式碼是由 AI 模型 Claude Opus 4.6 協作完成。
隨著 Claude Code、Codex 等 AI 程式工具逐漸普及,其方便性也帶來雙面刃。
上述案例顯示,生成式 AI 雖能提升開發速度,但由於缺乏嚴謹邏輯推導的直覺式生成模式,如果沒有人類的把關,可能會為企業與使用者帶來難以挽回的損失。
延伸閱讀:
加大教授拆解生成式AI:Vibe Coding沒那麼神?用AI寫程式的最佳方式是?
相關文章
30 Malicious Plugins on ClawHub Disguised as AI Tools, Downloaded Over 9,800 Times