隨著人工智慧 (AI) 生成代碼的使用日益普及，開發流程被「vibe coding」所重塑。雖能顯著縮短開發週期，但最新於 2025 年發佈的 Veracode GenAI Code Security Report 表示，AI 生成的程式碼中高達 45% 存在安全漏洞(TechNews, 2025)。這一數字不僅超過了傳統手工程式碼的平均漏洞比率，也對企業資訊安全帶來前所未有的挑戰。

vibe coding 定義與現況

「vibe coding」指開發者以 AI 為主要協作伙伴，將程式碼需求直接輸入自然語言，讓 AI 產生草稿、迭代版本並持續優化。雖能在「概念驗證」和「原型設計」階段快速驗證想法，但 AI 所產生的程式碼往往缺乏以下關鍵安全措施：

• 包名與命名規範錯誤：AI 可能將第三方函式庫以錯誤命名進行調用，導致執行時遭遇「類別不存在」錯誤。
• 輸入驗證缺失：缺乏正則式或白名單檢查，容易被注入攻擊利用。
• 過時函式庫與 API：AI 生成的依賴可能來自舊版，可帶來已知漏洞。
• 客戶端驗證：將安全檢查交由前端執行，讓攻擊者可輕易偽造請求。
• 硬編碼驗證資訊：直接在程式碼中寫死 API Key 或密碼；若不經意間被提交至版本控制，即可造成憑證外洩。

實例：Carla Rover 的失敗案例

Carla Rover 以 AI 生成程式碼提升開發速度，但在未徹底審核輸出結果後，卻在部署前夕發現多處安全漏洞，最後不得不重啟整個項目，造成時間與成本雙重打擊（TechNews, 2025）。她將此情形比作「照顧小孩」，因為 AI 產生程式碼時常伴隨不可預測的錯誤。

對策：人機協作與自動化安全掃描

1. 內部安全審查流程

將 AI 生成的程式碼視為「草稿」而非成品，建立必經的安全審查階段。流程建議包含：

• 使用靜態程式碼分析工具（SAST）檢測輸入驗證與密鑰硬編碼。
• 手動程式碼審查（Peer Review），確保命名規範與依賴版本正確。
• 配置 CI/CD 時，加入安全測試階段，如 OWASP ZAP 等動態掃描。

2. 專職「vibe 代碼清理專家」的崛起

企業內部紛紛聘請專門負責修復 AI 生成程式碼漏洞的職位，稱為「vibe 代碼清理專家」。此角色兼具程式碼審查與漏洞修補，並可訓練 AI 生成更安全的範本。

3. 使用 AI 辅助的安全解法：OpenAI Aardvark

OpenAI 近期推出的 Aardvark 技術，能自動發現、分析並修復程式碼安全漏洞，成為「vibe coding」的安全保險。其核心特色包括：

• 自動偵測硬編碼 API Key、過時依賴。
• 根據安全最佳實踐建議即時修正程式碼。
• 可與 GitHub Actions 或 Jenkins 整合，形成完整的安全流水線。

結語

AI 生成程式碼的便利不容忽視，但若缺乏嚴謹的安全把關，可能以比「照顧小孩」更高的代價回收開發效益。企業開發團隊應將「vibe coding」視為提升效率的工具，而非取代人類安全審查的手段。透過建立審查流程、聘請專職人員，以及運用如 Aardvark 之類的 AI 安全補助，才能在快速迭代中維持程式碼品質與企業安全。

參考文獻

TechNews. (2025, September 15). vibe coding. Retrieved from https://technews.tw/2025/09/15/vibe-coding/

OpenAI. (2025). Aardvark: AI-assisted code security solution. Retrieved from https://blog.trendmicro.com.tw/?p=89208

Facebook. (2025). Vibe coding 把出一堆資安漏洞怎麼辦？！ Retrieved from https://www.facebook.com/largitdata/posts/vibe-coding-%E5%AF%AB%E5%87%BA%E4%B8%80%E5%A0%86%E8%B3%87%E5%AE%89%E6%BC%8F%E6%B4%9E%E6%80%8E%E9%BA%BC%E8%BE%A6-%E5%88%A5%E6%93%94%E5%BF%83openai-%E6%8E%A8%E5%87%BA-ai-%E8%B3%87%E5%AE%89%E8%A7%A3%E6%B1%BA%E6%96%B9%E6%A1%88aardvark-aardvark-%E6%98%AF%E4%B8%80%E5%80%8B%E8%83%BD%E8%87%AA%E5%