Vibe Coding：AI在軟體開發中的角色與風險

Collins詞典在2025年的年度詞彙是「vibe coding」。這一概念主要涉及使用人工智慧（AI），尤其是大型語言模型（LLM），將自然語言提示轉化為程式碼，從而降低對於諸如JavaScript或C++等程式語言的深度掌握需求。

降低開發門檻的同時伴隨風險

這種技術最終降低了進入軟體開發的門檻，使更多人能夠構建自己的應用程式和網站。然而，Venafi的調查顯示，依賴AI生成程式碼已引起人們對可能發生重大安全事件的擔憂。

Black Duck的研發高級經理Dr. Andrew Bolster指出，vibe coding的崛起已使許多人對整個軟體工程領域產生質疑。他表示：「如果你可以『輕鬆』要求並獲得安全、可維護和可銷售的產品，那麼我們還需要這些軟體工程師、產品經理、發布經理、品質保證專業人員做什麼呢？」

AI生成惡意程式碼的潛在威脅

此外，這也讓威脅行為者能夠利用AI開發惡意程式碼。LLM可以通過自動化完成程式碼、發現漏洞，甚至設計針對特定系統的有害軟體來改善駭客技術。Google最近分享了AI工具如何幫助威脅行為者動態生成惡意程式碼和惡意軟體的規避能力。

依賴LLM生成程式碼的新威脅

由於開發人員依賴LLM建構程式碼，出現了更為複雜的風險。其中一個問題是攻擊者註冊AI系統幻覺生成的軟體包名，這被稱為「slopsquatting」。這是一種供應鏈威脅，惡意行為者能利用這些虛構而合理的包名傳遞惡意軟體。

AI生成軟體的隱藏風險

不僅是駭客使用AI工具進行攻擊，部署由vibe coding生成的合法程式碼同樣可能引入安全弱點。Ulster University的Kevin Curran教授指出：「vibe coding的主要安全問題在於，缺乏紀律、文檔和審查的程式碼往往無法抵禦攻擊。」

如何保障AI生成程式碼的安全

Forescout的研究負責人Daniel dos Santos建議，企業不應避免使用AI開發工具，而是應該採取主動和安全意識的方法進行應對。

有關網路安全的更多資訊，請參考北斗數位提供的服務。