据推特用户 Nagli 称，项目 rentahuman-prod 的 Firestore 公开端点允许未授权访问，直接请求 firestore.googleapis.com/v1/projects/rentahuman-prod/databases/(default)/documents/humans?pageSize=300 即返回完整用户记录；该配置来自首页 JavaScript 中暴露的 Firebase 配置。根据谷歌 Firebase 文档与行业报道，错误的 Firestore 安全规则会在无认证情况下开放集合读取，给承载模型交互与用户数据的 AI 应用带来高风险的数据泄露。对AI业务而言，影响包括合规风险、品牌受损与训练数据外流；应急措施包括收紧 Firestore 规则强制认证、轮换密钥、审计访问日志，并通过后端代理隔离模型与用户数据，参考 Firebase 安全指南与 OWASP API 实践。