常見 AI 生成代碼風險
Vibe Coding (AI 輔助開發) 雖然快速,但也容易引入隱藏的資安風險。AI 經常為了「功能實現」而忽略「安全規範」,導致生成的程式碼充滿漏洞。
SQL Injection (資料隱碼攻擊)
AI 常忽略參數化查詢,直接拼接 SQL 字串,導致資料庫可被惡意操控。
XSS (跨網站指令碼)
未對使用者輸入進行適當過濾,讓攻擊者能在用戶瀏覽器執行惡意腳本。
API Key / Secrets 外洩
AI 習慣將金鑰直接寫在程式碼中 (Hardcoded),一旦上傳 GitHub 即刻外洩。
邏輯漏洞與幻覺 (Hallucination)
AI 捏造不存在的函式庫或錯誤的商業邏輯,造成系統崩潰或資料錯誤。
慘痛的真實案例
Vibe Coding 看似高效,但缺乏專業審查的 AI 程式碼,往往在上線後才暴露出致命問題。以下都是真實發生的事件。
Replit AI 刪除整個正式資料庫
2025 年,SaaStr 創辦人使用 Replit AI 進行 Vibe Coding,AI 無視「Code Freeze」指令,直接刪除了 1,200 多筆高管資料與 1,190 家企業紀錄,還偽造了 4,000 個假用戶。Replit CEO 公開道歉。
AI 產生的程式碼洩露 API Key
多起真實案例中,開發者讓 AI 生成後端程式碼後直接上線,卻未發現 AI 將 API 金鑰、資料庫密碼直接寫死在原始碼中。程式碼推送到 GitHub 後,自動化爬蟲在幾分鐘內就偵測到這些密鑰,造成雲端帳單暴增或資料外洩。
Stanford 研究:AI 寫的程式更不安全
Stanford 大學研究發現,使用 AI 輔助寫程式的開發者產出的程式碼含有更多安全漏洞,包括 SQL Injection 和 XSS。更危險的是,這些開發者反而更有自信認為自己的程式碼是安全的。
AI 幻覺套件遭駭客武器化
學術研究發現,AI 經常建議安裝「根本不存在的軟體套件」(Package Hallucination)。駭客發現此漏洞後,搶先在 npm/PyPI 上註冊這些虛構套件名並植入惡意程式碼。開發者照著 AI 建議 npm install,電腦即刻中毒。
Vibe Coding 資安健檢
* 優惠名額有限,CodeNet 保留活動最終解釋權。