—— AI 會幫你寫程式，但不會幫你付帳單。

對象：AI 開發者、side project 玩家、企業實驗團隊
關鍵詞：Vibe Coding｜AI API｜Denial of Wallet｜金鑰安全｜成本控管

💬 開場

所謂 Vibe Coding，就是「先讓 AI 幫你寫，再照感覺修」。
這種快速開發方式能讓 side project 在一天內跑起來，但很多人忘了：
API 不是免費的，AI 不是慈善事業。

最近許多案例顯示：

• 有人一夜之間帳單爆 10,000 美金
• 有人誤把 API Key 放上 GitHub，結果全球開發者幫忙「分擔流量」
• 有人 toy project 沒監控，結果白白燒掉公司預算

所以，今天我們談談「不需要懂程式，也能避免帳單爆炸的七個策略」。

🧠 七個策略：人人可做

1. 弄清楚 vibe app 用的服務與收費模式

   • 是按次計費（per request）還是月費？
   • 弄懂之後，就能知道「每次呼叫」背後的錢長什麼樣。

2. 優先選擇儲值或月費制

   • 避免信用卡被直接綁死
   • 預繳多少用多少，最不會翻車。

3. 第一反應：找到用量與帳單頁

   • 開發第一天就要知道「在哪裡看花了多少錢」。

4. 第二反應：找到用量告警或限制設定

   • GCP、AWS、OpenAI、Gemini 都有用量上限設定
   • 設個 budget alert，避免半夜被炸錢包。

5. 上線後每天確認用量，即使是 toy project

   • 不是只有大專案才會爆帳單
   • 小程式一旦迴圈出 bug，一樣能讓帳單起飛。

6. 請 AI 幫你做安全掃描

   • Prompt 範例：
     • 「幫我檢查程式碼是否有 API key leakage」
     • 「幫我分析是否有 Denial of Wallet attack 風險」

7. 追蹤關鍵變數，親眼確認

   • 請 AI 告訴你程式裡的「API key / request 次數 / 金額」變數在哪
   • 再花十分鐘自己看過程式，才是最保險的。

🛡️ 小工具與技巧

• 費用監控：善用 budget alert + Email/LINE Bot 通知
• 安全掃描：用 Semgrep、Trivy，或乾脆問 Copilot/ChatGPT 幫忙掃 API key
• 金鑰管理：永遠放在環境變數 .env，別放在程式碼裡

📊 KPI 指標

• Billing Awareness Rate：專案是否設定過用量上限
• API Key Leak Detection：程式碼掃描出現金鑰的比例
• Budget Alert SLA：費用預警是否能在 1 小時內發出
• Denial of Wallet 測試覆蓋率：是否演練過「爆帳單攻擊」情境

🎭 工程師小劇場

PM：我們昨天的 toy project 怎麼燒掉一千美金？
你：因為 AI 幫你寫程式，但帳單幫你寫遺憾。

🎯 小結

Vibe Coding 是開發快樂泉源，但也是帳單地獄入口。
只要做到這七個小策略，就能大幅降低「一夜爆帳」的風險。
寫程式可以 vibe，花錢絕對要理性。

🔮 明日預告：Day 29｜AI 資安藍隊實戰

探討 AI SOC 與藍隊如何利用 AI 進行即時偵測、事件調查與防禦強化。