2026/6/29 · AI 上線專家

AI 寫的程式碼有 38% 含有漏洞——當「寫得出來」不等於「能安全上線」

AI 寫的程式碼有 38% 含有漏洞——當「寫得出來」不等於「能安全上線」

當 AI 寫程式變成日常,資安問題也跟著爆發

2026 年 1 月,一個名為 Moltbook 的社交平台上線不到三天,資安研究團隊就發現整個生產資料庫暴露在公開網路上——150 萬組 API 金鑰、3.5 萬筆電子郵件、所有私訊內容,全部可以直接讀取。創辦人公開表示「我一行程式碼都沒寫,全部交給 AI」。問題的根源很簡單:AI 產生的程式碼把 Supabase 的 API 金鑰直接寫在前端,卻沒有開啟資料庫的權限管控 (Row Level Security)。這不是技術太難,而是建置的人根本不知道要檢查這一步 (來源:The New Stack)。

同一個月,另一位創辦人在 X 上發文:他的 AI 編程助理誤判了環境變數,直接對正式環境的資料庫執行了清空指令。整間公司的生產資料,就這樣消失了。這些不是isolated case。喬治亞理工學院從 2025 年 5 月開始追蹤「由 AI 產生的程式碼所導致的 CVE 漏洞」,2026 年 1 月只有 6 個,到了 3 月已經累積到 35 個——而且研究者估計,真實數字可能是這個的五到十倍。

「寫得動」不等於「能上線」,中間隔著一整套檢查清單

Vibe coding(用自然語言描述需求、讓 AI 產生程式碼的開發方式)確實讓軟體開發的門檻大幅降低。根據 Stack Overflow 2024 年的調查,92.6% 的開發者每個月至少使用一次 AI 編程工具,約 75% 的人每週都在用。速度提升很明顯:企業研究顯示開發者使用 AI 後任務完成速度快了約 21%。但速度的代價是什麼?Veracode 測試了超過 100 個大型語言模型在安全相關編程任務的表現,發現 45% 的 AI 產生程式碼樣本含有 OWASP Top 10 類型的漏洞——而且這個比例從 2025 年到 2026 年初幾乎沒有改善。

更值得注意的是漏洞的類型。Apiiro 在 2024 年 12 月到 2025 年 6 月之間,分析了數十家財星 50 大企業的數萬個程式碼儲存庫。他們發現使用 AI 輔助的開發者提交程式碼的速度是一般人的三到四倍,但每月的資安問題從約 1,000 個暴增到超過 10,000 個。最危險的是架構層級的缺陷:權限提升路徑增加了 322%,架構設計缺陷增加了 153%。這些問題需要深入理解系統脈絡才能發現,正是 AI 工具最容易忽略的部分。

對台灣中小企業來說,這代表什麼?如果您找了一位工程師用 Cursor 或 Claude 快速開發系統、或者自己照著教學「vibe」出一個內部工具,表面上系統能動、功能也正常,但可能:

  • API 金鑰或資料庫密碼直接寫在前端 JavaScript
  • 使用者輸入沒有驗證,容易被 SQL injection 攻擊
  • CORS 設定過於寬鬆,任何網站都能呼叫您的 API
  • 沒有實作權限檢查,換個網址就能看到別人的資料
  • 相依套件是 AI「幻覺」出來的假套件名稱(Cloud Security Alliance 的研究發現,2.23 百萬個 AI 產生的程式碼樣本中,19.7% 至少含有一個不存在的套件名稱)

這些漏洞不會讓系統當掉,所以您不會在測試時發現。但駭客會。

不是不能用 AI 寫程式,是要知道「上線前該做什麼」

Vibe coding 本身不是問題。問題在於很多人以為「測試沒問題」就等於「可以上線」。實務上,從「寫完」到「能安全交付」,中間至少要經過:

  1. 程式碼審查:檢查是否有硬編碼的密鑰、明顯的資安漏洞、不合理的權限設定
  2. 相依套件掃描:確認所有 npm/pip/composer 套件都真實存在、沒有已知漏洞
  3. 靜態程式碼分析 (SAST):自動掃描 SQL injection、XSS、CSRF 等常見漏洞
  4. 權限與驗證測試:確認每個 API endpoint 都有做身分驗證與授權檢查
  5. 環境變數與密鑰管理:所有敏感資訊應該放在環境變數或密鑰管理服務,不該出現在程式碼裡

如果您的系統是外包工程師或 AI 工具產生的,而您不確定上面這些步驟有沒有做,建議在上線前找專業團隊做一次健診。這不是要否定 AI 工具的價值——它們確實大幅提升了開發速度——而是要承認:速度本身不會帶來安全性,檢查才會。

當系統已經寫好、您也測試過功能正常,卻卡在「不知道這樣能不能正式上線」的階段,這正是健診最能發揮價值的時候。我們見過太多案例:系統功能完整、測試也都通過,但因為沒有做資安檢查就直接上線,結果在營運三個月後被客戶的資安部門要求下架重做,或是在第一次稽核時被列為高風險項目。這些成本,遠高於上線前花一到兩週做檢查的代價。

如果您手上有一套想上線的系統,不確定它的安全性、維護性、或正式環境的準備度,歡迎透過免費健診服務讓我們幫您評估。我們不會否定已經投入的開發成本,而是幫您找出「距離安全上線還差哪幾步」,並提供具體、可執行的建議。讓能動的系統,變成能穩定營運的系統。