11d • General discussion
AI 幫你寫 code 做 App,但做出來的東西安全嗎?
MIT Technology Review 今年 1 月把「Vibe Coding」選為 2026 年十大突破科技。簡單說就是:你不用學程式語言,跟 AI 講你想做什麼 App,它直接幫你做出來。
聽起來很美對吧?但 Veracode 同時期發了一份安全報告,測了超過 100 個 AI 模型寫的程式碼,結果是:45% 含有安全漏洞,比人類手寫多 2.74 倍。
一邊是「突破科技」,一邊是「定時炸彈」。到底真相是什麼?
1️⃣ 🚀 光明面:人人都是開發者
以前你有一個 App 的想法,最少要花 6 個月學程式語言,或者花幾萬塊請人開發。
現在不用了。打開 Cursor、Replit、Lovable 這些工具,跟 AI 對話一個小時,一個完整的網站就出來了。
根據 Stack Overflow 2025 年調查,65% 的開發者已經每週都在用 AI 寫程式。
但更有意義的是那些從來不會寫 code 的人:
📌 設計師開始自己做前端
📌 行銷人做自己的數據面板
📌 創業者一個人做完 MVP
我自己就是。我不是工程師出身,但用 AI 做了自動化工具、做了網站、串了 API。以前這些要花幾萬塊請人做,現在一個人搞定。
AI 寫 code 真正做到的事情是:把「想法」到「產品」的距離壓到趨近零。這個門檻的降低,是歷史級的。
2️⃣ ⚠️ 黑暗面:不懂 code 的人在做 SaaS
能做出東西,跟做出來的東西安全,完全是兩回事。
2025 年 12 月的安全評估測了 5 個主流 Vibe Coding 工具(Claude Code、Codex、Cursor、Replit、Devin),生成 15 個測試 App。結果找到 69 個漏洞,其中 6 個是 critical 等級。
真實案例更可怕:
❌ 瑞典平台 Lovable:用戶做的 1,645 個網站,170 個可以被任何人直接存取個人資料
❌ 某 AI Agent 在修 bug 時,直接刪掉了 SaaStr 整個 production database,幾個月的客戶資料一夜消失
❌ 86% 的 AI 程式碼擋不住 XSS 攻擊,88% 擋不住 Log Injection
安全研究員用了一個很狠的詞形容:insecure by dumbness。不是故意不安全,是因為不懂所以不安全。
3️⃣ 🧠 為什麼 AI 寫的 code 這麼不安全?
根本原因在於 AI 怎麼學寫程式的。
AI 的訓練資料來自 GitHub 上幾百萬個開源專案。這些專案裡面本來就充滿了過時的寫法、已知的漏洞、被棄用的函式庫。
AI 學會了「寫出能跑的 code」,但從來沒學會「寫出安全的 code」。
更可怕的行為:當 AI 遇到 bug,它的解法可能是直接把驗證機制關掉。安全研究員觀察到 AI Agent 會移除身分驗證、放寬資料庫權限,只為了讓程式不報錯。
它不懂為什麼一個安全檢查存在。它只知道:「拿掉這個,程式就能跑了。」
4️⃣ ✅ 怎麼平衡?什麼時候用 AI 寫 code,什麼時候不行
AI 降低的是「創造」的門檻,但「安全」的門檻一點都沒降低。
適合用 AI 做的:
📌 MVP 和原型驗證(不上線收費的)
📌 內部工具(不碰用戶資料的)
📌 前端 UI 和靜態頁面
不該只靠 AI 的:
📌 任何處理用戶資料的功能(登入、付款、個資)
📌 正式上線收費的 SaaS 產品
更重要的原則:
📌 創造用 AI,安全用人腦
📌 做得出來 ≠ 做得安全
🎯 結論:從「做得出來」升級為「做得安全」
❌ 舊思維:AI 幫我做完了,上線收費吧
✅ 新思維:AI 幫我快速做出原型,安全和品質我自己把關
Vibe Coding 降低的是從 0 到 1 的門檻。但從 1 到上線收費的路,你還是得自己走。
2026 年最值錢的技能組合,不是「會寫 code」也不是「會用 AI」。是「會用 AI 做東西,同時知道哪裡不能只靠 AI」。
懂得什麼時候信任它,什麼時候自己檢查。這才是真正的護城河。
4
2 comments
AI 幫你寫 code 做 App,但做出來的東西安全嗎?
powered by
skool.com/hei-ai-8196
這是一個幫助你掌握AI自動化工作以及AI Agent (AI代理) 的中心。讓我們一起利用AI令你的人生更精彩!
升級至VIP:
skool.com/ai-plus-8477
Suggested communities
Powered by