很多人聽到「用 AI 寫程式」,第一個反應是:這樣資安會不會有問題?這個擔心是真的,而且值得重視。但如果因此得到「AI 寫的程式一定不安全」這個結論,也太簡化了。
比較準確的說法是:AI 寫程式會放大開發速度,也會放大原本流程裡的風險。如果團隊沒有檢查套件來源、沒有測試、沒有權限管理、沒有資安審查,那 AI 可能很快產出一堆看起來能跑、但其實不安全的程式碼。常見風險包含輸入驗證不足、過時套件、硬編碼金鑰、不安全的資料庫查詢,以及不該暴露的後台或 API。
但反過來說,AI 也可能讓網站比以前更安全。原因是很多小型網站、品牌官網或課程銷售頁,過去不一定有完整工程團隊,也不一定每次都有人做資安檢查。AI 如果被正確使用,可以協助檢查錯誤、提醒常見漏洞、補上驗證流程、產生測試案例、檢查權限邏輯,甚至協助安全工具更快找到漏洞。
所以問題不該是「AI 和工程師誰比較安全」,而是「誰有被正確檢查」。人類工程師也可能犯錯:趕時間時複製舊程式、忘記更新套件、把測試環境設定帶到正式站、或為了快速上線暫時關掉安全限制。AI 也可能犯錯:引用過時寫法、產生不存在或不安全的套件、忽略業務情境、或把外部內容誤當成可信指令。
最好的做法,是把 AI 當成加速器,不是最終審核者。AI 可以先產生架構、頁面、功能與測試方向;人類則要把關資料流、權限、金流、會員資料、後台入口、部署設定與上線決策。尤其涉及登入、付款、個資、資料庫、API key、後台管理、刪除資料或對外發布時,不應該讓 AI 自己決定。
對企業或品牌網站來說,安全的 AI 開發流程至少要包含幾件事:第一,所有 AI 產出的程式碼都要經過人工審查。第二,新增套件前要確認來源、維護狀態與已知漏洞。第三,要用自動化工具檢查常見弱點,例如依賴套件漏洞、型別錯誤、建置錯誤與基本安全掃描。第四,高風險操作要有明確授權,不讓 AI 自行發布、刪除或修改正式環境。第五,重要修改要留下紀錄,方便回溯。
因此,AI 寫程式會不會有資安問題?會,如果沒有流程。AI 會不會有時候比工程師還安全?也會,前提是它被放在正確的安全流程裡,並且搭配測試、審查與權限控管。
真正值得追求的不是「完全不用工程師」或「完全不用 AI」,而是讓 AI 負責速度,讓人類負責判斷,讓工具負責檢查。這樣做出來的網站,才有機會同時兼顧效率、美感與安全。