AI 讓開發更快了,但也讓資安不能再被當成最後才補的事
Vibe Coding 讓產品建造門檻快速下降,但開發速度變快,不代表風險會自動降低。當越來越多人能在短時間內拼出可上線的系統,真正變重要的,反而是權限治理、部署流程與資安紀律。
這幾個月,大家很常談 Vibe Coding。
但我越看越覺得,這波浪潮真正改變的,不只是開發速度,而是誰有能力在極短時間內把一個系統推到接近 production 的位置。
它讓開發這件事第一次大規模地從專業技能門檻,走向組織與工作流門檻。很多原本不會寫程式的人,現在也能靠 AI 做出產品原型,甚至直接上線。
這當然是一件大事。因為它不只是提升效率,而是在改變誰有資格參與建造。
但每當這種技術紅利出現,我都會同時想到另一件事:門檻下降,通常不會只讓創造變多,也會讓失誤放大得更快。
尤其當產品已經不是存在本機,而是直接連著資料、權限、部署流程與第三方服務時,「能不能做出來」從來都不是唯一問題。更大的問題是:你到底有沒有能力把它安全地做出來。
速度被放大之後,風險也一起被放大
高速產品開發流程與安全治理關卡的對照示意
Vibe Coding 最讓人興奮的地方,是它把開發速度拉到了一個前所未有的等級。
以前一個人要摸索好幾天的流程,現在可能一個晚上就能串起來。以前需要多位工程師協作的 PoC,現在可能一個人加幾個 agent 就能做完。
但這裡有一個常見誤解:效率提升,不等於風險下降。很多時候,恰恰相反。
因為當建造速度提升時,人更容易略過那些不會立刻出成果、但其實極關鍵的工作,例如:
- 權限分層
- 金鑰管理
- 第三方服務風險盤點
- deployment review
- audit log
- secret handling
- fallback 與 incident response
這些事情在 demo 階段看起來都很慢、很煩、很不性感。但真正決定產品能不能活下來的,往往就是這些東西。
AI 並沒有讓安全變簡單,它只是讓不安全也能更快上線
這是我最近越來越在意的一點。
AI 把很多工程工作變得更容易描述、組裝、複製與部署,但安全問題不會因為生成速度變快就自動消失。相反地,AI 可能讓帶著錯誤假設的系統被更快地複製出去。
以前需要工程背景才能犯的錯,現在可能更多人都犯得到。以前要寫很多程式才會暴露的漏洞,現在可能在一個 prompt 與幾次複製貼上後就進 production。
這不是說 Vibe Coding 不值得擁抱,而是說,當開發民主化,治理也必須一起民主化。
如果更多人能建產品,那麼更多人也必須理解:
- 哪些權限不能亂開
- 哪些 token 不能亂放
- 哪些整合不能直接信任
- 哪些外包工具其實已經進入你的信任邊界
真正需要升級的,不只是開發效率,而是工程紀律
在 AI 時代,資安不應該再被理解成「產品做完後讓專家補一下」。它更像是一種工程操作系統。
你怎麼處理秘密資料,怎麼設計環境隔離,怎麼定義 production access,怎麼讓部署可審計,怎麼讓團隊知道出事時該先切什麼、查什麼、停什麼。
這些事情如果不在一開始設計進去,後面通常不是補不起來,而是補起來的成本會遠高於一開始做好。
我甚至覺得,未來團隊競爭力的一部分,會來自這個能力:能不能在 AI 把建造速度推高的同時,維持一套不失控的工程秩序。
最後真正能持續放大的,不是生成能力本身,而是「生成能力 + 治理能力」的組合。
結語
Vibe Coding 讓更多人有能力把想法變成產品,這件事我非常看好。但也正因如此,資安不該再被放在流程的尾端,而必須前移成為建造的一部分。
當產品建造門檻降低,真正拉開差距的,可能不再只是誰會用 AI,而是誰能在使用 AI 時,仍然維持對風險、權限與系統邊界的敬畏。
速度會讓你更快抵達市場,但只有紀律,才會讓你有機會留在市場。
我是江中喬,一位具有 TPM 與產品管理背景的 AI 系統建構者,目前專注於 AI 認知增強系統與多 Agent 協作架構的設計與實踐。