阿凱📝 主編觀點 · 職涯衝擊分析 — 這對工程師、PM、設計師意味著什麼,該怎麼準備
vibe coding 寫出來的 App,資安破洞可能等你好幾個月
The Verge 最近刊了一篇文章,作者用 AI 快速搭了一個網站,幾個月後才發現裡面藏著 SQL Injection 漏洞——那種大學資安課第一週就會教的基本攻擊。整個過程 AI 一行一行把程式碼生出來,看起來跑得順順的,但底層就是一個等人來捅的破洞。
這不是個案。vibe coding 的邏輯是「說清楚需求,AI 幫你實現」,但 AI 在意的是功能能不能跑,不是你的 database 有沒有被保護好。它不會主動問你「這個輸入有沒有做 sanitize」,就像你叫外包商蓋房子,他把外觀蓋得漂漂亮亮,但你得自己去確認地基有沒有打好。
對 PM 和創業者來說,這件事的後果比想像中嚴重。現在門檻這麼低,很多非工程背景的人開始用 Cursor 或 Claude Code 自己做 MVP,快的話一個週末就上線。但「能動」跟「安全」是兩件事。一旦有用戶資料進來,SQL Injection、未加密的密碼存儲、API key 寫死在前端這些問題就不再只是技術債,而是法律問題。
對工程師來說,這反而是個好消息,但也是一個警告。AI 搶走的是「把規格轉成程式碼」這個動作,但還沒搶走的是「知道哪裡會壞掉」的能力。未來最有價值的工程師,不是打字最快的,而是能在 AI 生出一千行 code 之後,花十分鐘找到那個藏在第 847 行的資安炸彈。
資安審查、架構判斷、threat modeling——這些東西 AI 現在做得很差,因為它沒有「這個做法在生產環境會出事」的恐懼感。這種恐懼感,是從踩坑踩出來的,是職涯資產,不是過時技能。
所以如果你現在在學 vibe coding,OWASP Top 10 值得花一個下午讀完。
