内部系统,本来开放了一批 REST API ,结果有人 vibe coding 搞出来一大堆 404 。问了下一口咬定这 agent 自主调用跟他无关。 这得了?一旦有个高危接口 /delete 之类的,被 AI 猜出来了岂不是?? 赶紧把权限校验堵上,刷接口封 IP 的机制给加上。专门申请了个 redis 存 url path IP 的关系,然后如果爆量,然后通过 IT 那边顺着网线找过去。。。。。。 🤣 🤣 🤣 🤣 🤣 API, 安全, 权限