Orchids 是一种所谓的“氛围编码”工具，这意味着没有技术技能的人可以通过在聊天机器人中输入文本提示来使用它来构建应用程序和游戏。

近几个月来，此类平台迅速普及，并经常被誉为人工智能如何快速、廉价地提供各种专业服务的早期例子。

但专家表示，Orchids 很容易被黑客入侵，这表明允许人工智能机器人深入访问我们的计算机以换取允许它们自主执行任务的便利是存在风险的。

BBC多次要求该公司置评，但该公司尚未回复。

Orchids 声称拥有 100 万用户，并表示谷歌、Uber 和亚马逊等顶级公司都在使用它。

根据 App Bench 和其他分析师的评级，它被评为振动编码某些元素的最佳程序。

网络安全研究员 Etizaz Mohsin 向 BBC 展示了其安全缺陷。

我将 Orchids 桌面应用程序下载到我的备用笔记本电脑上，用于实验，并启动了一个 vivi 编码项目作为测试。

Orchids 是众多为没有经验的用户编写代码的 AI 代理平台之一

人工智能助手自动开始在屏幕上编译代码，而没有任何经验的我无法理解这些代码。

利用网络安全漏洞（我们没有披露），Mohsin 能够访问我的项目，并查看和编辑任何代码。

然后，他在我不知情的情况下，在我的项目中添加了数千行字母、数字和符号中的一小行代码。

看来这让他能够访问我的电脑——因为不久之后，桌面上出现了一个名为“Joe is hacked”的记事本文件，壁纸也变成了人工智能黑客的图像。

黑客攻击对该平台数以万计的项目的影响是显而易见的。

邪恶的黑客可以轻松地将病毒安装到我的计算机上，而无需我执行任何操作。

我或我公司的私人或财务数据可能被盗。

攻击者可能已经访问了我的互联网历史记录，甚至通过摄像头和麦克风进行监视。

大多数黑客攻击都涉及受害者下载恶意软件或被诱骗交出登录详细信息。

这种攻击能够在没有受害者任何参与的情况下进行——众所周知，这是一种零点击攻击。

“振动编码革命使开发人员与其工具交互的方式发生了根本性转变，这种转变创造了一种以前不存在的全新类型的安全漏洞，”莫辛告诉我。

“让人工智能为你处理事情的整个主张伴随着巨大的风险。”

Etizaz Mohsin 在著名的 BlackHat 会议上谈论网络安全

他拥有发现软件中允许黑客入侵的危险缺陷的记录，其中包括臭名昭著的 Pegasus 间谍软件的工作。

他表示，他在 2025 年 12 月尝试振动编码时发现了该缺陷，此后花了数周时间试图让 Orchids 在电子邮件、LinkedIn 和 Discord 上回复大约十几条消息。

Orchids 团队终于在本周对他做出了回应，称他们“可能错过了”他的警告，因为该团队“被入站的”信息淹没了。

这家总部位于旧金山的公司的 LinkedIn 页面称，该公司成立于 2025 年，员工人数不到 10 人。

Mohsin 表示，他只在 Orchids 中发现了缺陷，而在其他振动编码平台（例如 Claude Code、Cursor、Windsurf 和 Lovable）中尚未发现。

尽管如此，专家表示这应该作为一个警告。

阿尔斯特大学网络安全教授 Kevin Curran 表示：“振动编码的主要安全隐患是，如果没有纪律、文档和审查，此类代码经常会在攻击下失败。”

为我们执行复杂任务的人工智能工具（称为代理人工智能）越来越成为头条新闻。

最近的一个例子是病毒性 Clawbot 代理，也称为 Moltbot 或 Open Claw。

人工智能机器人可以在您自己的设备上运行任务，例如发送 WhatsApp 消息或管理您的日历，几乎不需要人工输入。

据估计，这款免费的人工智能代理已经被数十万人下载，并且可以深入访问人们的计算机——但这也意味着许多潜在的安全风险和缺陷。

网络安全公司 NordPass 的产品主管 Karolis Arbaciauskas 表示，人们应该保持谨慎。

“虽然看到人工智能代理在没有任何安全护栏的情况下可以做什么是令人兴奋和好奇的，但这种级别的访问也极其不安全，”他说。

他的建议是在单独的专用机器上运行这些工具，并使用一次性帐户进行任何实验。