陳瑞麟

當牆倒了，我如何能在三分鐘內發現並止血？


Vibe Coding，又稱「氛圍編碼」，讓完全不懂寫程式的人也能輕鬆設計出軟體、架網站、畫圖。簡單來說，Vibe Coding 就是請 AI 當你的程式設計小助手，讓它來幫你搞定程式碼，你只要提供概念，寫程式碼實現的部分 AI 會搞定。

DevOpsSec這個字，是開發、營運、安全人員團隊的縮寫，開發人員注重滿足客戶要的功能，營運人員要高可用性不客訴，而安全人員則希望程式能有機密性、完整性、可用性兼具。

讀者會問，AI 在訓練的過程中，大量的讀過很多程式設計師寫的程式碼，因此我給 AI 下指令後，他就能從「最佳實務」中產生符合我的概念的程式碼，我出概念，AI 負責用厲害的程式來滿足我和客戶的需求。

這本書不是定位在給專業資深程式設計師「肉眼」除錯用的，無論是 ISO27001：2022 的控制項目實作、OWASP Top10：2025 的常見資安弱點，無一倖免地都能把你的 AI 搞瘋，寫出連它自己都不相信的程式碼，然後再把資深程式設計師也搞瘋。更別談 AI 會記憶，不同人下相同的指令，寫出來的程式碼會有很大的機會內容不同。

所以，本書定位是寫給非資訊人員，有概念、會下基本指令的小小 AI 咏唱師，以提示語來和 AI 做互動。我們只改一個小概念，就是「資安左移」，需求、威脅建構、實作、測試、上線、功能修補，越右邊的時候考慮資安，就越會把 AI 搞瘋，所以在最左方的「需求」描述的提示語，我們就要在本書中探討如何下提示語。並且有耐心的等候免費AI工具生成程式碼的行數或時間限制，用同一個 AI 來寫作，不要切換。

置於九地之下，始有九天之生，在本書中，我們也會有「一個人的紅隊」，讓讀者練習用 Kali Linux(知名滲透測試工具)，來練習攻擊「資安左移」後的程式碼，然後用「資深程式設計師視角」，透過 Visual Studio Code 結合 Gemini 的方式來讓「資安左移」時沒處理好的程式碼，有進一步透過 OWASP Top 10：2025 的常見資安弱點做為藍圖來練習補正程式碼。

所以本書給初心者小小咏唱師的部分，和給資深程式設計大牛，是給不一樣的建議和路徑的，請各自取用適合的章節並享受這個 AI 大爆發的時代。還是那句話，AI 不會取代人，但 AI 會取代不和 AI 協作的人。

在本書撰寫到一半篇幅時，XAMPP 這個一直被倚重的程式的資料庫 mysql 崩潰了，筆者需要一個競品，免費版的 GitHub Copilot 也會有程式行數的限制：需要回到前面的假設─太複雜的資安要求，會讓系統崩潰。所以我們需要的不是一個「Top 10 大全或 ISO27001 控制項大全」，而是假設失效(Assume Breach)我們不再奢望牆永遠不倒，而是思考「當牆倒了，我如何能在三分鐘內發現並止血？」。我們開設了線上表單供讀者將所遇到的問題截圖上傳來詢問。

✚ Google 表單網址
https：//forms.gle/BDtHzVmeDDeRiuR99

✚ 本書簡介影片
https：//youtu.be/ayBzDdRrxfQ

🚩專業推薦
企業經營者也必須理解另一件事：速度是優勢，信任才是護城河。功能可以被複製，安全與治理能力則需要長期累積。《人手一本的 Vibe Coding 資安實作課》並沒有停留在「如何用 AI 寫程式」的表層，而是進一步提出一個更重要的觀念：真正有價值的，不是寫得快，而是寫得穩、寫得安全、寫得可持續。
——毛敬豪 | 國際資訊安全人才培育與發展協會 理事長


這本書最棒的地方，在於這並非一本生硬、充滿說教的資安理論書，而是一本接地氣、兼顧不同技術背景讀者的實戰指南。
——黃綱正 | 中國科技大學資訊工程學系助理教授
——范瑋凌 | 科技公司營運長


許多企業並沒有養成定期更新系統、套件，來修補漏洞的習慣。而「系統能用就好，沒事別更新」的僥倖心態，最終都會淪為滋養駭客的溫床。…在人人都能用 AI 開發產品的時代，創作的門檻確實降低了；但同時，攻擊的門檻，也一樣被降低了。
——林鼎淵 | 外商工程師、企業內訓講師、《工程師下班有約》作者


本書適合的「讀者族群」
👉工作遇到瓶頸，想要跳槽的人
👉覺得自己很有實力，但因為不知道如何表現自己，而沒有得到合適 Offer 的人
👉想了解人工智慧進步到什麼程度的人
👉想透過提示語撰寫自己專案的人
👉想找到自己盲點，在職場不斷進步的人