Vibe Coding 安全嗎？ 終於有研究深入探討這個問題。 研究發現： AI 編碼代理可以編寫功能性代碼。但功能性並不意味著安全。 「vibe coding」的興起，開發者將任務交給 AI 代理，幾乎不進行監督，這一趨勢正在加速。更多的自主性、更快的速度、更高的生產力。假設：如果它能運行，那就足夠好了。 但運行的代碼和安全的代碼並不是同一回事。 這項新研究引入了 SUSVIBES，一個基準，包含來自開源項目的 200 個真實功能請求，特別是那些在分配給人類程序員時曾導致脆弱實現的任務。 結果令人震驚！ 當 SWE-Agent 使用 Claude Sonnet 4 處理這些任務時，61% 的解決方案在功能上是正確的。只有 10.5% 是安全的。 這是一個巨大的差距。六成的代理解決方案能正常運作。大約十分之一是安全的，適合生產使用。 研究人員測試了多個前沿代理，發現了一個一致的模式：所有代理在軟件安全性方面表現不佳。這不是特定模型的問題，而是系統性的。 更令人擔憂的是：在功能請求中添加脆弱性提示，警告代理潛在的安全問題，無法減輕這些安全問題。看似明顯的對策對這些代理系統並不起作用。 隨著開發者或組織急於採用 AI 編碼代理以提高速度和效率，他們可能正在以安全換取速度。 🔖 (收藏它) 論文：