你用 AI 寫過程式嗎?不管是做網站、做 App 還是做自動化工具。
Anthropic 昨天推出了一個新功能叫 Code Review,專門用 AI 來審查 AI 寫的程式碼。
這不是小更新。它代表的是一件事:AI 寫 code 已經成為主流了,但品質問題也開始浮上來了。
今天來聊聊這個功能到底做了什麼、vibe coding 的機會和風險、以及對我們這些「不是工程師但想做產品」的人來說意味著什麼。
Code Review 到底是什麼
一般的程式碼審查是一個人看一遍你的 code,找 bug。
Anthropic 做的不一樣:它用多個 AI Agent 同時從不同角度審查你的程式碼,最後由一個「匯總 Agent」整合所有結果,去掉重複的、排好優先順序。
而且它不是抓「這行縮排不對」那種格式問題,而是專門抓邏輯錯誤。
每個問題它會一步步解釋:
- 這裡錯在哪
- 會造成什麼影響
- 怎麼修
用顏色分風險等級:
🔴 紅色 = 嚴重問題,一定要修
🟡 黃色 = 潛在風險,需要注意
🟣 紫色 = 跟過往程式碼或歷史錯誤相關
目前先開放給企業用戶(Uber、Salesforce、Accenture 這些公司已經在用),每次審查大概 15-25 美元,按程式碼複雜度收費。
為什麼需要這個?因為 Vibe Coding 的安全問題已經爆了
MIT 把 vibe coding 選為 2026 年十大突破科技。越來越多人用 AI 寫 code,不用學程式語言,用自然語言就能做出網站、App、自動化工具。
但問題來了:
根據 GenAI Code Security Report,45% 的 AI 生成程式碼含有安全漏洞。研究人員測試了 5 個 vibe coding 工具,15 個應用,發現了 69 個漏洞,其中半打被評為「嚴重」等級。
安全公司 Wiz 抓到過一個真實案例:一個完全用 vibe coding 做的網站,資料庫設定出錯,洩漏了 150 萬個認證 token 和 3.5 萬個 email。站主說他「一行 code 都沒寫過」。
常見漏洞類型
- SQL 注入 — AI 寫的查詢沒有做參數化
- XSS 跨站腳本 — 沒有對用戶輸入做過濾
- 不安全的套件依賴 — 引入有已知漏洞的舊版本
- 任意程式碼執行 — 接受用戶輸入後動態生成程式碼
這就是為什麼 Anthropic 要做 Code Review。AI 寫 code 的速度越來越快,但品質管控的速度沒跟上。
一個有趣的矛盾
Code Review 聽起來很強,多個 Agent 同時審查,分顏色標風險等級,還會解釋原因。
但問題來了:如果你根本不懂 coding,你怎麼判斷 AI 的 Code Review 有沒有真正抓到所有問題?
就像你不懂車,帶去保養,師傅說沒事你也只能信。
這是一個真實的矛盾。但我覺得要這樣看:
1Code Review 不是萬能的,但比沒有好太多
以前 vibe coding 出來的 code,你不看就直接部署。現在至少有一層自動檢查,能抓到大部分常見問題。
2門檻問題和品質問題是兩件事
Vibe coding 解決的是「門檻問題」— 讓不會寫 code 的人也能做出產品。Code Review 解決的是「品質問題」— 讓做出來的東西更安全。兩個加在一起,效果比單獨用任何一個都好。
3你不需要變成工程師,但你需要知道什麼時候找工程師
做 MVP 驗證想法?vibe coding + Code Review 完全夠了。但當你的產品要開始收費、處理用戶數據的時候,你就有責任找專業的人做安全審計。
這是創意人的黃金時代
我不覺得一定要是工程師才能做產品。
以前做網站、做 App,第一個門檻就是「你會不會寫 code」。現在這個門檻變成了「你有沒有想法」。
Code Review + vibe coding 這個組合,給了有創意的人、懂營銷的人一個前所未有的平台。
- 用 vibe coding 快速做出 MVP,先驗證想法
- 開 Code Review 讓 AI 幫你抓基本的邏輯和安全問題
- 省下來的時間花在產品本身和找客戶上
- 不要以為 Code Review 過了就代表安全無虞
- 產品真的要商用,還是要找懂的人做安全審計
AI 降低了「做出東西」的門檻,但沒有降低「做好東西」的責任。
當你的 side project 變成商業產品的那一刻,你就有更大的責任去用不同方式解決資安和程式碼品質的問題。
但這是後話了。現在重要的是,你有想法就先做出來。