密码留空就能让所有人进入的登录漏洞。
if (user) { grantAccess() }。智能体通过电子邮件获取了用户记录。密码为空时它仍然找到了那行记录。user 是真值。访问已授权。
测试套件通过了,因为测试只发送了有效密码。事后分析的重点不是"AI 很蠢"。而是没有人指定失败情况,所以没有人验证它。
if (user) { grantAccess() }。智能体通过电子邮件获取了用户记录。密码为空时它仍然找到了那行记录。user 是真值。访问已授权。
测试套件通过了,因为测试只发送了有效密码。事后分析的重点不是"AI 很蠢"。而是没有人指定失败情况,所以没有人验证它。