你的下一個 vibe-coding App 上線前，先讀這篇資安提醒

The Verge 講了一個有代表性的故事：Bob Starr 用 vibe-coding 隨手做出一個叫「Boomberg」的網站，展示有多少美國稅金流進科技公司，做完當下就高興地上線，直到幾個月後才發現網站藏著他根本沒意識到的問題。這類「想到就做、做完就丟上網」的素人作品，正隨著 AI 編碼工具普及而暴增。

vibe-coding 的魅力，是把寫程式的門檻壓到「會描述需求就行」。但它同時悄悄拿掉了傳統開發流程裡的一道道防線——權限怎麼設、輸入怎麼驗證、密鑰會不會被寫死在前端、資料庫有沒有對外裸奔。會寫提示詞的人不等於懂資安，AI 也常常先把功能跑通、把安全問題默默留在原地。結果就是一堆看起來能動、實際上門戶大開的服務散落在網路上。

把這條跟今天頭條接起來看剛好成對：OpenAI 推 Daybreak 想用 AI 補漏洞，而 vibe-coding 正是新漏洞的量產源頭之一，攻防兩端同時被 AI 加速。對台灣想用 AI 快速做 MVP 的個人開發者與小團隊，務實建議是三條——上線前讓工具自己做一輪安全掃描、別把任何金鑰寫進前端、處理到真實使用者資料就停下來找懂的人看一眼。快是優勢，但把沒上鎖的門推上線，省下的時間遲早要連本帶利還。