MIT Technology Review 今年 1 月把「Vibe Coding」選為 2026 年十大突破科技。簡單說就是:你不用學程式語言,跟 AI 講你想做什麼 App,它直接幫你做出來。
聽起來很美對吧?但 Veracode 同時期發了一份安全報告:45% 含有安全漏洞,比人類手寫多 2.74 倍。
🚀 光明面:人人都是開發者
根據 Stack Overflow 2025 年調查,65% 的開發者已經每週都在用 AI 寫程式。更有意義的是那些從來不會寫 code 的人:
- 📌 設計師開始自己做前端
- 📌 行銷人做自己的數據面板
- 📌 創業者一個人做完 MVP
AI 寫 code 真正做到的事情是:把「想法」到「產品」的距離壓到趨近零。
⚠️ 黑暗面:不懂 code 的人在做 SaaS
2025 年 12 月的安全評估測了 5 個主流 Vibe Coding 工具,生成 15 個測試 App。結果找到 69 個漏洞,其中 6 個是 critical 等級。
真實案例:
- ❌ 瑞典平台 Lovable:1,645 個網站中 170 個可以被任何人直接存取個人資料
- ❌ 某 AI Agent 在修 bug 時,直接刪掉了 SaaStr 整個 production database
- ❌ 86% 的 AI 程式碼擋不住 XSS 攻擊,88% 擋不住 Log Injection
🧠 為什麼 AI 寫的 code 這麼不安全?
AI 的訓練資料來自 GitHub 上幾百萬個開源專案,裡面本來就充滿了過時的寫法、已知的漏洞。AI 學會了「寫出能跑的 code」,但從來沒學會「寫出安全的 code」。
更可怕的是:當 AI 遇到 bug,它的解法可能是直接把驗證機制關掉。它不懂為什麼一個安全檢查存在,它只知道:「拿掉這個,程式就能跑了。」
✅ 怎麼平衡?
適合用 AI 做的
MVP 和原型驗證
內部工具(不碰用戶資料)
前端 UI 和靜態頁面
不該只靠 AI 的
任何處理用戶資料的功能
正式上線收費的 SaaS 產品
登入、付款、個資相關
🎯 結論
❌ 舊思維:AI 幫我做完了,上線收費吧
✅ 新思維:AI 幫我快速做出原型,安全和品質我自己把關
2026 年最值錢的技能組合:會用 AI 做東西,同時知道哪裡不能只靠 AI。