据推特用户 Nagli 称，项目 rentahuman-prod 的 Firestore 公开端点允许未授权访问，直接请求 firestore.googleapis.com/v1/projects/rentahuman-prod/databases/(default)/documents/humans?pageSize=300 即返回完整用户记录；该配置来自首页 JavaScript 中暴露的 Firebase 配置。根据谷歌 Firebase 文档与行业报道，错误的 Firestore 安全规则会在无认证情况下开放集合读取，给承载模型交互与用户数据的 AI 应用带来高风险的数据泄露。对AI业务而言，影响包括合规风险、品牌受损与训练数据外流；应急措施包括收紧 Firestore 规则强制认证、轮换密钥、审计访问日志，并通过后端代理隔离模型与用户数据，参考 Firebase 安全指南与 OWASP API 实践。

据X用户@galnagli称，AI代理发现两起数据库误配：moltbook在Supabase暴露约3.5万邮箱，RentAHuman在Firestore暴露约18.7万邮箱，因缺少安全规则而上线，所幸在造成实际伤害前已修复。根据Wiz的报告，moltbook还因公共访问与未启用行级安全暴露了数百万API密钥，显示快速迭代与托管后端组合易引发数据外泄。依据Wiz建议，默认拒绝、开启Supabase行级安全与严格Firebase安全规则可降低风险，并在CI/CD中集成AI安全代理，实现对初创团队“快交付”的可持续防护。