警惕：Rails全局ID在AI代理应用中的安全陷阱

本文揭示了Rails框架中全局ID(GID)系统在大型语言模型(LLM)应用集成中的一个严重安全隐患。作者在使用RubyLLM构建个人会计和发票工具时发现，当LLM错误生成包含UUID的GID时，Rails会提取UUID中的数字序列并错误地定位到数据库中的记录。这是因为Rails的find方法会尝试从字符串中提取数字作为ID，导致’gid://moneaker/Invoice/22ecb3fd-5e25-462c-ad2b-cafed9435d16’这样的GID会被错误解析为ID为22的发票记录。这一发现对正在将LLM与传统数据库应用集成的开发者具有重要警示意义，提醒我们需要加强对GID的验证和授权检查，避免潜在的数据安全风险。