文章总结： 由于人工智能编码错误，一台配置错误的服务器暴露了345,000张被盗信用卡信息。这一事件凸显了在依赖AI进行软件开发时，缺乏人工检查可能导致严重的安全漏洞。 综合评分： 75 文章分类： 安全意识,漏洞分析

黑客通过 vibecoding 验证被盗信用卡，因AI编码错误致卡信息全面泄露

会杀毒的单反狗 会杀毒的单反狗

爱拍照的老李

2026年5月1日 08:57 湖北

在小说阅读器读本章

去阅读

导读

由于人工智能编码错误导致重大安全漏洞，与盗刷信用卡市场 Jerry’s Store 连接的一台配置错误的服务器暴露了 345,000 张被盗信用卡信息。

研究人员发现一台配置错误的服务器，这台服务器于4月16日被发现，它与一家名为“杰瑞商店”（Jerry’s Store）的在线网店相关联，该商店是一个盗刷信用卡的平台，黑客会在该平台上测试被盗信用卡是否仍然有效。

进一步调查显示，由于人工智能代码编辑器出现故障，黑客意外泄露了自己的数据库。

人工智能导致重大泄露

运营 Jerry’s Store 的团队使用了Cursor人工智能辅助开发环境来编写代码。Cursor 是一款合法的工具，程序员可以用它快速构建软件。

根据 Cybernews 的调查结果，黑客们进行“vibecoding”编写代码，这意味着他们严重依赖人工智能来完成工作。

AI导致一次重大安全漏洞。当黑客要求人工智能构建统计仪表板时，它创建的却是一个未经身份验证的开放网络目录，而不是一个安全页面。这意味着黑客建立了一个任何人都可以无需密码访问的网站。

研究人员在博客文章中解释说：“此次泄露源于用户请求创建一个统计仪表板，而 Cursor 创建了一个未经身份验证的开放网络目录来提供该网页，忽略了设置身份验证的必要性。”

对聊天记录的调查显示，Cursor LLM掌握了足够的信息，足以识别出它正在协助构建一个信用卡验证服务。

研究人员指出，这凸显安全防护措施的缺失，因为 Cursor 未能阻止黑客将其用于犯罪目的。这一漏洞也使得研究团队能够读取私人日志，并了解构建该网站的具体步骤。

黑客利用这台服务器来验证哪些被盗的银行卡可用。他们使用了亚马逊美国站、亚马逊日本站、Grubhub、山姆会员店、Temu、Lyft、Elf Cosmetics 和 CountryMax 等知名网站。他们在这些网站上创建数千个账户，并尝试进行小额交易。如果支付成功，黑客就知道这张卡有效，可以高价出售。

这台泄露的服务器上数据量非常庞大，包括：

• 总共查获卡345,000张：其中200,000张被认定为无效卡，超过145,000张为有效卡。
• 敏感信息：泄露的信息包括持卡人姓名、家庭住址、卡号和安全码。
• 市场价值：由于暗网上可用的信用卡售价为 7 至 18 美元，因此这份清单价值高达 260 万美元。

据了解，Jerry’s Store 于 2023 年底上线。目前尚不清楚该组织的总部所在地。店铺运营者似乎精通中文，服务器却托管在德国。研究人员认为，他们使用了安全可靠的托管服务商来隐藏身份。

这个案例对所有使用人工智能构建软件的人来说都是一个教训，因为它表明，虽然人工智能速度很快，但如果不进行人工检查代码，它可能会给任何人带来类似灾难。

研究人员总结道：“虽然在这个案例中，它帮助识别了与信用卡欺诈相关的滥用行为，但对于将 Cursor 用于合法用途的开发人员来说，这也是一个教训，表明它如何导致意外的数据泄露。”

技术报告：

《诈骗分子利用vibecode服务器验证被盗信用卡，泄露了34.5万张信用卡的详细信息》

https://cybernews.com/security/jerrys-store-vibecode-exposes-stolen-credit-cards/

新闻链接：

Misconfigured Server Run by Hackers Leaks 345,000 Stolen Credit Cards

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 会杀毒的单反狗 会杀毒的单反狗《黑客通过 vibecoding 验证被盗信用卡，因AI编码错误致卡信息全面泄露》