粉絲團
隨著企業運用「氛圍編碼」(Vibe Coding)加速應用程式開發的趨勢,隱性弱點也被快速累積,這些難以察覺的漏洞極可能成為AI自動化攻擊的跳板。(AI製作示意圖)
〔記者邱巧貞/台北報導〕AI蓬勃發展讓軟體開發效率大幅提升,但同時也讓開發環境暴露在前所未有的風險中,今年爆紅的Vibe Coding(氛圍編碼)同樣帶來新的資安風險。
趨勢科技資深技術顧問簡勝財舉例,最典型的案例,是有一名開發者使用Vibe Coding生成程式碼後,因覺得效果不錯便分享給社群使用。不久後,他卻發現自己的雲端流量暴增、費用飆升,原來AI生成的程式碼將他的API Key直接寫死在檔案中,導致所有使用該程式的人都在呼叫他的雲端服務,等於「公開借用」他的帳號。
相關研究也指出,AI自動生成的程式碼存在安全風險的機率相當高,約有四成以上的程式可能包含弱點,像是憑證外洩、權限控管不足或可被濫用的邏輯缺陷等;換句話說,Vibe Coding雖然大幅提升開發效率,卻絕不代表「寫出來就一定安全」,仍需要專業檢視與資安控管。
此外,供應鏈攻擊也持續演變。除了偽裝常見的開源套件外,有些攻擊者甚至鎖定「已停止維護」的舊軟體,例如2025年就曾出現案例,攻擊者劫持一款已停止更新的注音軟體更新網域,對特定國家的使用者推送「惡意版更新」,以此達成定向攻擊目標。這種做法不僅隱蔽性高,也讓使用者誤以為只是例行更新。
這些現象也凸顯一個事實,AI 讓開發變快,但也讓攻擊變快,開發流程如今成為攻擊者最容易下手的通路之一。
趨勢科技認為,企業未來必須重視的,不只是程式碼安全,更要包含要重視開發流程安全、套件來源完整性、API金鑰與憑證管理、雲端權限與設定安全等,企業必須確保對自身資產的可視性,並選擇以資安治理為核心、以風險預防為導向的資安工具,才能在AI威脅全面擴張的時代下維持真正組織韌性。
一手掌握經濟脈動 點我訂閱自由財經Youtube頻道
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法
