Vibe coding 是 2025 年 Andrej Karpathy 在 X 上提出的詞:你跟 AI 描述想做什麼,AI 寫程式碼,你不太檢查就讓它跑,跑壞了再叫 AI 改。這是個真實在發生的工作方式,工具像 Cursor、Lovable、v0、Bolt、Claude Code 都讓門檻降到零。
但同樣一個工具,用在「做個 todo app 自己玩」跟「用來蓋公司官網接金流」是兩件完全不同的事。
「Vibe Coding」這個詞怎麼來的
2025 年 2 月,Andrej Karpathy(OpenAI 創始成員之一)在 X 發文:「我把這種寫 code 方式叫 vibe coding ── you fully give in to the vibes, embrace exponentials, and forget that the code even exists.」
中文簡單翻:你完全交給「感覺」,擁抱指數成長,連 code 存在都忘了。
為什麼最近這麼夯
幾個工具同時把門檻拉到「會打中文就能寫 app」的程度:
- Cursor / Claude Code / Windsurf:IDE 內建 AI agent
- v0 / Bolt / Lovable:對話式 web app builder
- ChatGPT / Claude:直接生成完整 codebase
- Replit Agent:對話 → 完整部署
加上社群上每天有人 demo「我 30 分鐘做了一個 SaaS」,就形成 FOMO 氛圍:是不是該自己做?是不是不用找工程師了?
Vibe Coding 適合哪些情境?
1. 內部工具、自己用
報表小工具、CSV 轉換器、圖片批次處理。爛掉了也沒差,用完即棄。
2. Hackathon / Prototype
要在 48 小時做出能 demo 的東西,product 重於 code 品質。
3. POC 驗證概念
「這個想法到底可不可行?」做個能跑的版本看看,便宜。
4. 學程式
跟 AI 來回問答比看書快。前提是你會去看 AI 寫了什麼。
5. 個人興趣專案
自己用、自己維護、壞了自己解決,沒對外。
這幾個情境的共同點:程式碼不是商業資產,使用者只有自己(或一小群熟人),出錯成本低。
哪些情境用 Vibe Coding 會出問題?
1. 要過 SEO 的官網
AI 寫的 metadata、structured data、sitemap、robots.txt 通常「看起來對」但細節不穩。漏一個 canonical、寫錯 hreflang、忘了 Open Graph image,半年後發現 Google 把你排到第 3 頁。問題是 AI 不會主動告訴你。
2. 要接金流的網站
金流串接的失敗模式有 30 種以上:webhook 沒收到、退費沒回沖、訂單狀態不一致、token 過期、IP 白名單。一次對帳爆炸,一年的營業利潤就沒了。
3. 涉及真實使用者資料 / 個資
台灣 2024 年個資法修正後,企業個資外洩單一個案最高罰款達新台幣 1,500 萬元。AI 知道 SQL injection、XSS、CSRF、broken access control、token 洩漏這些詞,但「知道字眼」和「在你的程式碼裡有正確防護」是兩件事。Vibe coding 的工作流沒有系統性安全 review 步驟:rate limit、CSRF token、HTTPS-only cookie、CSP header 這些主動防禦不主動要求就不會出現。以 OWASP 2024 Top 10 為例,最常被 AI 生成漏掉的依序是:A07 Identification and Authentication Failures(沒設 rate limit、session timeout 過長)、A02 Cryptographic Failures(密碼沒 hash、token 放 localStorage)、A03 Injection(query 不 parameterized)、A05 Security Misconfiguration(CORS / CSP 全開)。如果官網有收集使用者 email / 電話、有會員系統、或串接金流,在沒有工程師逐行審過之前上線,違規風險是真實的、不是假設的。最便宜的做法是上線前請一位工程師花 2-4 小時跑一輪 OWASP Top 10 自查,比後續被動處理 incident 划算 50 倍以上。
4. 要 6 個月後還得維護的程式碼
Vibe coding 經典場景:要改一個地方,發現 AI 半年前寫的這段你完全看不懂,請 AI 改,AI 改壞另一個地方。debug 變成考古學。
5. 多人協作的程式碼
Vibe coding 通常會出現重複定義、命名混亂、一個 function 1000 行、business logic 散在 component 裡。一個人寫沒問題,三個人協作就是地獄。
Vibe Coding 和 AI-assisted Coding 有什麼差別?
這是被混淆最嚴重的概念。差別在 誰是主導:
| 維度 | AI-assisted coding | Vibe coding |
|---|---|---|
| 誰主導決策 | 工程師 | AI |
| Code review | 工程師逐行看 | 跑得起來就好 |
| 架構決定 | 工程師 | AI 隨機選 |
| 安全審查 | 工程師意識到要做 | 通常沒做 |
| 可交接性 | 高 | 低(沒人懂) |
| 適合 production | 是 | 看情境 |
我自己每天用 AI 寫 code(Cursor + Claude),但我不是 vibe coding ── 我會看每一行 diff、調整命名、補測試、檢查邊界條件。差別在「我用 AI 加速我的判斷」vs「我把判斷外包給 AI」。
那商業官網到底能不能用 vibe coding 做?
技術上可以做出能跑的版本。但「能跑」跟「能用半年、能 SEO、能接金流、能交接、出包能查」是不同層次的事。
如果你的官網是:
- 預算很緊(5 萬以下)
- 只是先放著佔網域
- 半年後反正會打掉重做
- 不接金流、不收使用者資料
那 vibe coding(或乾脆用 Wix / 套版工具)是合理的。
如果你的官網是:
- 預期維護 2 年以上
- 要做 SEO 帶流量
- 要接金流、會員、訂閱
- 出問題會影響業務
那找專業就比較划算。不是因為 AI 寫的不好,是因為 AI 不會主動告訴你它沒處理什麼。
快速判斷:我的情境適合 Vibe Coding 嗎?
| 特徵 | 適合 Vibe Coding | 不適合 Vibe Coding |
|---|---|---|
| 使用者 | 自己或少數熟人 | 真實客戶、付費用戶 |
| 出錯成本 | 低(重做即可) | 高(資料外洩、訂單爆炸) |
| 預期壽命 | 1 個月以下 | 6 個月以上 |
| 涉及金流 / 個資 | 否 | 是 |
| 需要 SEO | 否 | 是 |
| 例子 | 個人工具、Hackathon | 商業官網、SaaS、會員系統 |
兩欄之中,你的情境如果有 3 項落在右欄,找專業比 vibe coding 划算。
結論
工具沒對錯,看用在哪。Vibe coding 把「做出能跑的東西」門檻拉到趨近於零,這是好事。但「能跑」跟「能上 production」之間,還是隔著一個有經驗的工程師判斷力。
如果你還在評估某件事該不該自己 vibe coding 做,可以問自己三個問題:
- 它壞掉的成本是什麼?
- 它預期活多久?
- 出問題你能自己解嗎?
三個答案如果有一個讓你不安,就值得找人聊聊。
如果你的官網需要進一步評估外包還是 DIY,可以參考 AI 寫的網站可以上線嗎?三個你要先想清楚的問題,或先看 網站建置的三個層次 確認自己的需求落在哪個 scope。
