一場 AI 氛圍編程的恐怖故事

背景

這場討論源於一篇關於「氛圍編碼」（Vibe Coding）引發的資安慘劇。一名非技術背景的人員利用 AI 工具，在完全不理解底層邏輯的情況下，為一家醫療機構開發了一套處理敏感病患數據的系統，卻導致極其嚴重的資安漏洞，所有存取控制邏輯竟全寫在客戶端的 JavaScript 中，意即任何人只要透過簡單的指令就能獲取所有病患資料。

社群觀點

Hacker News 的網友對此案例展現了高度的憂慮與憤慨，許多人認為這並非單純的技術失誤，而是法律與道德層面的崩潰。討論中首要關注的是法律責任，不少留言指出在歐洲或瑞士等地區，處理醫療數據受到 GDPR 等嚴格法規限制，這種將敏感資料暴露於公網的行為極可能導致刑事責任。有網友建議應直接將證據提交給監管機構或醫療授權委員會，因為對於某些只看重實際後果的企業主而言，唯有法律制裁才能讓他們學到教訓。

針對「氛圍編碼」的現象，社群產生了激烈的辯論。部分觀點認為 AI 只是工具，問題在於使用者的無知與傲慢。有留言將此類比為早期的 Visual Basic 或惡意郵件詐騙，認為技術門檻降低後，必然會出現不具備專業素養的人在未經審核的情況下部署系統。然而，另一派意見則批評目前的 AI 營銷過於誇大，讓許多毫無技術背景的業務人員誤以為 AI 可以解決所有問題，卻忽略了資安防禦需要深厚的專業知識。更有網友直言，這種「只求看起來會動」的開發模式，本質上就是一種不負責任的賭博，尤其在涉及病患隱私時更是如此。

此外，關於軟體工程是否應走向「職業化」與「證照化」也成為討論焦點。支持者認為，既然建築師與土木工程師在蓋橋樑或大樓時需要專業認證並負法律責任，處理攸關人命或隱私的軟體工程也應建立類似的准入標準與責任追究機制。但反對者則擔憂這會演變成權力尋租與門檻限制，並指出目前的法律框架其實已經存在，問題在於執法不嚴。最後，也有人提出技術性的解決方案，希望未來能出現像 Clippy 一樣的智慧助手，自動為非專業用戶配置 CI/CD、環境隔離與安全檢查點，從工具層面強制執行安全規範。

延伸閱讀

• Medplum：留言中提到的醫療後台解決方案，旨在避免開發者從零開始建構醫療系統時犯下安全錯誤。
• Burofax：西班牙的一種掛號信服務，具有法律效力，可用於正式要求企業刪除個人數據。
• OWASP：網友建議用於掃描企業工具漏洞的安全標準與工具集。
• Archive.ph 備份連結：由於原文網站流量過大崩潰，網友提供的存檔版本。