—— AI 幫你寫程式，但也可能幫你寫漏洞。

對象：AI 工程師、DevSecOps、資安團隊、CISO
關鍵詞：Vibe Coding｜AI 代碼生成｜漏洞風險｜輸入驗證｜代碼審查

💬 引言：什麼是「Vibe Coding」？

TechNews 最近報導一個新現象：Vibe Coding。
意思是：工程師不再自己從零寫代碼，而是依靠 AI 生成大部分程式碼，再「照感覺」修正。

問題來了：研究顯示，高達 45% 的 AI 生成代碼含有安全漏洞。
開發者從「寫代碼」變成「當 AI 保母」，每天修 bug、補洞、加防護。

🧠 常見 AI 代碼漏洞類型

一句話：AI 幫你快樂開發，也幫駭客快樂挖洞。

🛡️ 防護策略

1. 強制代碼審查

   • AI 產碼必須經過 PR + Code Review
   • 安全團隊要有「AI 專屬檢查清單」

2. 自動化掃描

   • CI/CD 中加入 SAST/DAST
   • 使用工具如 Semgrep、Bandit、OWASP ZAP

3. 安全樣板與指令

   • 建立公司內部 安全代碼範例庫
   • 引導 AI 生成程式碼時使用安全指令（secure prompt）

4. 依賴控管

   • 生成 SBOM，追蹤套件來源與版本
   • 對 AI 建議的套件進行白名單審核

5. 教育與文化

   • 訓練工程師成為「AI 代碼清理專家」
   • 將 vibe coding 轉化為 secure vibe coding

🧰 工程實作範例

SAST 自動化檢查（GitHub Actions）

jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v3
      - name: Run semgrep
        uses: returntocorp/semgrep-action@v1
      - name: Run bandit
        run: pip install bandit && bandit -r ./src

SQL Injection 防護（Python 範例）

import sqlite3

def get_user(user_id):
    conn = sqlite3.connect("users.db")
    cursor = conn.cursor()
    # ❌ AI 常產生: f"SELECT * FROM users WHERE id={user_id}"
    # ✅ 安全寫法: 使用參數化查詢
    cursor.execute("SELECT * FROM users WHERE id=?", (user_id,))
    return cursor.fetchone()

📊 KPI 指標

• AI Code Review Coverage：AI 產碼經審查比例
• Vulnerability Detection Rate：掃描攔截漏洞比例
• SBOM Completeness：依賴可追溯率
• Remediation Time：修復 AI 漏洞的平均時間
• Secure Prompt Adoption：使用安全 prompt 的比例

🎭 工程師小劇場

PM：AI 幫我寫了 80% 的功能！
你：對啊，但我花了 120% 的時間幫它修洞。

🎯 小結

Vibe Coding 是新趨勢，但也是新風險。
要把 AI 代碼從「漏洞製造機」變成「安全助理」，必須：

• 建立安全流程
• 引入自動化工具
• 訓練團隊具備 AI 安全意識

只有這樣，AI 才能成為真正的「開發夥伴」，而不是「漏洞同事」。

🔮 明日預告：Day 29｜AI 資安藍隊實戰

探討 AI SOC 與藍隊如何利用 AI 進行即時偵測、事件調查與防禦強化。