開發產出暴增 10 倍的代價:AI 程式碼湧現,企業如何防堵資安與技術債漏洞?
2026 年,企業面對的 AI 問題,已經不再只是能否更快寫出程式,而是寫得太快之後,誰來收拾後果?
隨著 Cursor、Claude Code、Codex 等 AI 寫程式工具快速普及,AI 正在把軟體開發從人力瓶頸推向另一種極端,也就是程式碼產出暴增,但理解、審查與維護能力卻跟不上,技術債也因此加速累積。
《紐約時報》就描述了一個典型的案例:一家金融服務公司導入 Cursor 後,每月產出的程式碼行數,從 2.5 萬行暴增到 25 萬行,結果很快就累積超過 100 萬行待審查程式碼。協助該公司的安全新創 StackHawk 共同創辦人兼執行長 Joni Klippert 直言,真正跟不上的,不只是程式碼審查速度,還包含漏洞數量增加,以及整個公司被迫加快節奏所帶來的壓力。
這正是當前企業最真實的 AI 寫程式困境:產出已經不是問題,審核與維護才是。當 AI 幫工程師、甚至非工程背景的員工快速做出功能、網站或內部工具,企業表面上看起來更敏捷,實際上卻可能正在把更多難以追蹤、難以維護的程式碼推進正式環境。
AI 把開發速度推到極致,也把技術債放大
《NBC News》指出,AI 寫程式工具最初帶來的吸引力,主要在於提升開發速度與功能交付能力,儘管自去年 11 月以來,這類工具的能力已顯著提升,但它們無法像經驗豐富的人類開發人員那樣全面地理解整個程式碼庫。
協助軟體工程師和企業審查並提高程式碼品質的公司 CodeRabbit AI 負責人 David Loker 舉例,AI 可能會在多個不同地方重複編寫相同的功能,因為它們沒有發現該功能已經存在,所以一遍又一遍地重新創建該功能。
這也是為什麼許多企業現在開始大量尋找更資深的工程師,而不是單純擴編招募初階開發人力。《紐約時報》提到,市場對應用程式安全工程師的需求正快速升高,因為企業需要更多人來審視 AI 生成程式碼中的錯誤、風險與合規問題。但問題在於,這類人力根本不足。矽谷投資圈人士 Joe Sullivan 甚至直言,光是美國企業的需求,就已超過現有供給。
下一個 AI Slop 受害者,可能就是程式碼本身
如果說 2024、2025 年大家談的是 AI 生成圖片、搜尋摘要與內容農場造成的 AI Slop,那麼 2026 年更值得警惕的,可能是 AI 程式碼 Slop。《NBC News》就直接提出這個問題:程式碼會不會成為下一個被 AI 低品質內容淹沒的領域?
開源社群已經率先感受到衝擊。《紐約時報》報導,數位白板新創 Tldraw 去年開始發現越來越多人試圖提交程式碼貢獻,但這些貢獻往往行為異常:有人做到最後卻放棄簽署流程,有人忽略清楚的提交規範,也有人反覆送出近似垃圾訊息般的修改要求。創辦人 Steve Ruiz 最後乾脆在今年 1 月關閉對外貢獻入口,因為他認為這波 AI 帶來的程式碼洪流,已對程式庫品質、社群運作與專案聲譽造成風險。
《NBC News》也提到,知名開發者 Daniel Stenberg 年初曾因 AI 生成的大量低品質錯誤回報而中止一項除錯計畫,因為處理這些資訊本身就帶來巨大的心理與時間成本。不過他後來也觀察到,局面開始從「AI 垃圾海嘯」轉向「安全回報海嘯」:低品質內容變少了,許多程式碼其實品質不差,但大量安全報告隨之湧入。這代表下一波問題可能不是只有垃圾程式碼,而是整個安全審查流程將被 AI 生成內容推到極限。
換句話說,企業未來面對的,不只是程式碼越寫越多,而是與程式碼有關的警示、修補、測試與回報,也會同步暴增。
Agentic AI 正成為對付程式碼海嘯的下一解法
面對這種局面,AI 公司的答案不是少用 AI,而是用更多 AI 來管 AI。這正是 Anthropic 等公司近來主推的方向:從單純寫程式的輔助工具,升級為能長時間運作、協調多步驟任務,甚至負責品質檢查與維護的代理型 AI。
Anthropic 在《2026 Agentic Coding Trends Report》中預測,2026 年的軟體開發工作,將從單一代理走向多代理協作,從處理幾分鐘的小任務,走向可持續運作數小時甚至數天的長時間代理。報告指出,未來更有價值的能力之一,就是讓 AI 不只會寫程式,還能主動協助檢查大規模 AI 產出內容中的安全漏洞、架構一致性與品質問題,並在真正需要判斷的地方,把任務交還給人類。
Anthropic 的判斷很清楚:真正可行的未來,不是人類完全退出,而是讓人類把注意力留給高風險、高判斷密度的工作,其他例行性的驗證與維護,交由代理型 AI 承擔。報告同時強調,人類在 2026 年的角色會從「實作者」轉向「協調者」與「審查者」,也就是不再逐行寫程式,而是負責拆解問題、引導代理、驗證輸出。
真正的風險,不只是漏洞增加,而是複雜度爆炸
但把 AI 用來修補 AI,並不代表問題自然消失。因為這波變化更深層的代價,在於整體系統複雜度的爆炸。
《NBC News》引述資安顧問公司 Corridor 共同創辦人 Jack Cable 的說法指出,即使大型語言模型逐行寫程式的能力變好,只要它寫出來的程式量是人類的 20 倍,企業依然得面對更龐大的審查負擔。更重要的是,軟體世界早就有一條老規則:複雜度越高,攻擊面就越大。
《Infosecurity Magazine》也進一步整理了這種風險具體會長成什麼樣子。除了 AI 工具本身的開發環境可能出現漏洞,AI 生成的程式碼也可能帶入 SQL 注入、JavaScript 注入、硬編碼金鑰、過時依賴套件、供應鏈風險與業務邏輯缺陷。
更麻煩的是,這些問題不一定會被傳統靜態分析工具完整抓出來,因為 AI 的輸出往往具備機率性、脈絡依賴與自然語言驅動的特性。這代表,企業未來面對的不是單一新漏洞,而是整體軟體治理機制必須調整。
Vibe coding 已無法回頭,企業只能補上治理機制
從現在的採用速度來看,Vibe coding 幾乎已經不可能倒退。《Infosecurity Magazine》引述 AWS 開發者體驗技術主管 Laura Tacho 的研究指出,92.6% 的開發者至少每月使用一次 AI 程式助手,約 75% 每週都在用,而 Anthropic 也觀察到 AI 可讓某些任務加速高達 80%。這說明企業現在最不可能做的,是幻想回到沒有 AI 的開發時代,而是接受這種開發方式已成為新常態。
因此,問題會從「要不要用」轉為「怎麼用得安全」。在這方面,《Infosecurity Magazine》給出的方向很清楚:企業必須建立人類介入審查、限制 AI 直接碰觸正式環境、強制執行靜態與動態安全測試、掃描密鑰與依賴套件,並把提示詞、模型版本與參數視為可追蹤的治理資產。英國國家網路安全中心也提醒,AI 寫程式的時代更需要以確定性的控制手段去約束輸出,而不是把安全寄望於模型自己愈來愈聰明。
這些建議背後有一個共同邏輯:企業不能再把 AI 生成程式碼當成「加速版的人類程式碼」,而必須把它當成一種高產量、低可解釋性的新風險來源。
也因此,企業若想避免溺死在技術債中,真正該做的不是減慢 AI 速度,而是建立一套能跟上 AI 速度的審查、驗證與治理機制。因為 Vibe coding 已經回不去了,下一階段真正拉開差距的,不是誰寫得更多,而是誰能在海量 AI 程式碼之中,還維持系統品質與安全底線。
【推薦閱讀】
◆ AI 的第二個 10 億用戶怎麼來?a16z 點出信任高牆,解析可信任中介的三大結構關鍵
*本文開放合作夥伴轉載,資料來源:《New York Times》、Anthropic、《Dev Community》、《NBC News》、《infosecirity Magazine》,首圖來源:Unsplash