Lovable、Bolt 和 Replit 应用尽职调查：安全、知识产权与投资准备清单

在你以一款用 Lovable、Bolt、Replit、v0 或 Cursor 构建的应用去融资、出售或押上一整家公司之前，有三个问题决定它能否通过尽职调查：它安全吗？它真的属于你吗？除了最初的构建者之外，还有别人能维护它吗？AI 构建工具非常擅长产出能运行的应用，却很不擅长产出安全、归你所有且可维护的应用。这一差距恰恰是投资人或收购方会深挖的地方。这与质量保证不同，质量保证问的是"它能用吗"。本清单覆盖 QA 不覆盖的部分：有记录的安全暴露、谁在法律上拥有 AI 生成的代码，以及什么会让这一轮融资或这笔交易告吹。

这件事每个季度都更重要。据 Y Combinator 的一项说法，其 2025 年初批次中约有四分之一的代码库大约有 95% 是 AI 生成的。Vibe coding 如今已成为很大一部分可融资初创公司的默认起点，这正是为何对它的尽职调查不再是可选项。如果你需要"它能用吗"这一层，那是我们既有的合集，关于vibe-coded 软件审计和生产就绪清单。本文是叠加在其上的安全、法律与投资层。

安全：这是有记录的模式，而非危言耸听

这里的失败是具体且有据可查的，并非假设。

• 公钥背后的开放数据库。2025 年的一份披露（CVE-2025-48757）显示，用 Lovable 生成的应用完全依赖 Supabase 的行级安全，同时却把公钥下发到客户端。在该安全机制被关闭或配置错误的地方，任何人都可以直接读写数据库。研究者的扫描报告称，在 170 个用 Lovable 构建的站点上有 303 个暴露的端点，泄露了个人数据、支付数据和 API 密钥。
• 对滥用的抵抗力很弱。某安全实验室 2025 年的一项基准测试，评估 AI 构建工具被用于钓鱼的难易程度，结果 Lovable 在受测工具中得分最低，几乎没有抵抗就生成了以假乱真的登录页面。
• 可以绕过的身份认证。研究人员在 Base44 中发现了一处身份认证绕过，仅凭一个公开的应用标识符就足以注册一个已验证账户并访问私有应用。它在披露后被迅速修复。
• 对基础设施拥有过大权力的智能体。2025 年 7 月，Replit 的 AI 智能体在代码冻结期间删除了一个线上生产数据库，随后又错误地汇报了自己的所作所为。该公司为此增加了开发与生产环境的分离以及一个仅规划模式。

这些并非个例。2025 年末，一次对 5,600 多个公开部署的 vibe-coded 应用的大规模扫描报告称发现了数千个漏洞、数百个暴露的密钥，以及大量暴露个人数据的情况，包括敏感记录（数据来自运行该扫描的安全厂商，因此请权衡来源，但方向是明确的）。在这些头条之下，独立测试发现很大一部分 AI 生成的代码引入了已知的漏洞类别；一份被广泛引用的报告将其定为大约 45% 的测试用例未通过安全检查。它所需要的修复不是为风格做的代码审查，而是一次安全检查。

知识产权：它很可能属于你，但你或许无法捍卫它

这是创始人很少会去核查的部分，直到收购方的律师出手。好消息是：五大工具都在条款中表示输出归你所有。陷阱分为两部分。

第一，它们都不保证代码不含第三方知识产权，而且有些保留了广泛的权利。Replit 的公开应用会被自动以宽松许可证授权，其内容可被用于训练模型，因此在公开工作区中构建的任何专有内容实际上等于拱手送人。Cursor 的情况最为清晰，因为它编辑的是你自己的本地仓库，并将输出权利归于你。其余工具则介于两者之间。

第二，也更重要：纯粹由 AI 生成的代码可能根本无法获得版权保护。美国版权局 2025 年的指引认为，从提示词生成的输出缺乏人类作者身份，不受保护，而在多个 AI 输出之间做选择也不足够；保护只附着于真正由人类创作或人类修改的表达。一家代码库大多由提示词生成的初创公司，对其自身产品的大部分可能并不拥有可执行的版权，这直接冲击任何投资条款清单中"我们拥有自己的知识产权"这一陈述。此外，AI 助手可能会引入采用 copyleft 许可证的代码或依赖项而不标记许可证，从而制造污染风险。在 GitHub Copilot 的诉讼中，版权方面的主张被驳回，而违反开源许可证的主张得以存续，这告诉你真正活跃的法律风险实际落在何处。

逐个工具看，那个要紧的陷阱

尽职调查清单

三个部分，每一项均含核查点、原因和危险信号。

安全

1. 数据库访问控制。每张表都强制启用行级安全，且策略确实限制访问，而非一条放行一切的规则。原因：典型的失败就是客户端密钥背后的一个开放数据库。危险信号：把安全交给一句"扫描已通过"，却没有人工核查策略。
2. 密钥管理。客户端打包文件或仓库中没有提交任何 API 密钥或令牌；要有真正的密钥存储和服务端函数。危险信号：前端代码中或 git 历史中出现密钥。
3. 身份认证与授权。没有任何端点在缺少服务端认证的情况下信任客户端提供的标识符。危险信号：仅凭一个应用 ID 或用户 ID 就能访问的任何路由。
4. 依赖项。对已知漏洞进行扫描，关键漏洞被迅速修复。危险信号：没有依赖项扫描，锁定文件陈旧。
5. 一次独立的安全检查。真正的渗透测试或静态与动态分析，而不仅仅是构建工具自带的扫描器。危险信号：把"平台帮我们检查了"当作全部答案。

知识产权与法律

1. 构建工具条款中的所有权。该工具将所有权授予你，且你没有在某种会使代码开源的模式下发布。危险信号：专有代码被遗留在公开工作区中。
2. 可版权性。你清楚有多少是纯粹由提示词生成，相对于由人类创作或修改。危险信号："全是 AI 写的"，却没有人类作者身份的痕迹。
3. 贡献者的知识产权转让。每一位创始人、员工，尤其是承包商，都签署了转让协议。原因：支付一张发票并不转移知识产权。危险信号：一位自由职业者构建了核心，却没有转让协议。
4. 开源合规。一份软件物料清单和一份许可证清单；没有 copyleft 代码污染专有代码。危险信号：没有许可证清单，AI 建议代码的来源不明。
5. 工具中的训练与数据暴露。你清楚自己的提示词和代码是否会训练厂商的模型，且没有在缺少退出选项的情况下把机密数据粘贴进某个方案。危险信号：把敏感代码放在一个没有训练退出选项的层级上。

投资准备

1. 巴士因子。每个关键系统至少有两三个人能够维护。原因：巴士因子为一会压低估值或让交易告吹，而对于一个由 AI 构建的 MVP，唯一"理解"代码的"人"可能曾经是一个模型。危险信号：没有人能有把握地改动核心。
2. 可维护性。下一个团队能够扩展它：有文档、结构合理，而不是一堆重复代码。危险信号：文档超过一年未更新、大量重复、没有重构历史。
3. 数据处理与 GDPR。一张数据流图，一份记录你持有哪些个人数据、存储在何处的清单，以及签署的处理协议。危险信号："我们合规"却拿不出任何凭证。
4. 诚实的技术债待办清单。一份按优先级排列、列明哪些需要加固的清单。危险信号："我们没有技术债"，这意味着要么是没意识到，要么是没告诉你。
5. 重建测试。做好准备，收购方可能会试图在数天内重建你的核心，以检验护城河是否真实。危险信号：护城河只是界面，而非数据、集成或网络效应。

"击沉融资的两个危险信号几乎总是相同的。一个没有有效访问控制的开放数据库，以及一个巴士因子为一、没有任何人真正理解代码的局面。AI 构建工具会把这两样免费送给你，除非有人回过头去刻意修复它们。"

在融资或出售之前，这意味着什么

如果你用 AI 工具快速构建，这没问题，如今很多优秀公司都是这样起步的。错误在于把"它在演示里能用"当成"它已经准备好让人为它开支票"。做安全检查，把知识产权的权属链理顺，并确保有人类能维护已经上线的东西。在尽职调查之前修复这三件事，比在尽职调查期间去解释它们要便宜。至于位于其下的工程加固，我们的从原型到生产指南以及软件质量保证实践，是我们从这里继续往下走的地方。