人工智慧（AI）與大型語言模型（LLM）已成為軟體開發領域的強大助力，顯著提升了開發人員的工作速度與產能。然而，對於部署這些技術工具的團隊而言，無論AI帶來多大的能力提升，在安全問責方面，人類的監督與主導地位仍是不可或缺的核心要素。畢竟，開發人員最終必須對產出安全可靠的程式碼負起責任。在軟體開發生命週期（SDLC）中產生的錯誤，其根源往往不在於AI本身，而在於專業人員如何使用它，以及他們是否運用了所需的法律、倫理與安全意識的專業知識，來及時發現問題。

這種潛在的破壞性動態必須受到高度關注，因為AI編碼工具的普及已成定局。

根據 Qodo 發布的《2025 年人工智慧程式碼品質狀況報告》，超過五分之四的開發人員每天或每週使用人工智慧編碼工具，59% 的開發人員同時運行至少三個此類工具。人工智慧對安全性的影響已成為首要關注的問題，即使是最好的生命週期管理（LLM）系統，也有近三分之二的時間會產生錯誤或存在漏洞的產。 為了安全、合乎道德地部署人工智慧工具，團隊必須在創新與問責之間取得平衡——建立強大的治理機制，提升開發人員的技能，並執行嚴格的程式碼審查。畢竟，開發人員最終要對編寫安全可靠的程式碼負責。 軟體工程領導者及其團隊該如何培養「安全第一」的文化以及對道德和法律問題的普遍意識呢？建議遵循以下最佳實務：

1. 建立人工智慧倫理/責任保護的內部準則：安全負責人必須建立對開發人員使用人工智慧編碼工具的可追溯性、可見性和治理機制。
2. 提升開發人員技能並對其進行培訓：為避免因漏洞而導致的返工以及法律和道德困境，團隊領導者必須提升開發人員的技能，使其更加精通軟體安全、倫理和責任等可能影響其角色和產出的因素。
3. 溝通並強制執行最佳實務：這應包括對人工智慧生成的程式碼進行嚴格審查；使用這些助手創建的程式碼應與其他任何程式碼一樣，接受同等的品質和安全審查，這應成為一項標準流程。

透過制定關於安全、倫理和法律問題的指導方針，並投資於遵循這些指導方針所需的培訓和基準測試，團隊將能夠以更高的專業水平和效率開展工作。

 

人類監督與問責制的核心價值

鑑於當前最優異的LLM仍有近三分之二的機率產生帶有漏洞的產品，業界與學術界專家普遍認為，該技術「尚未能生成可直接部署的程式碼」。如果團隊採用一種AI方案生成程式碼，再使用另一種AI方案進行審查，而人為監督極少，這將會產生一種虛假的安全感，從而大幅增加軟體被損害的可能性。

顯而易見的風險在於團隊對AI過度信任。這些工具往往缺乏對細微情境的理解能力，難以識別複雜的漏洞。例如，AI可能無法完全掌握應用程式的身份驗證或授權框架，進而導致關鍵檢查點的遺漏。一旦開發人員對自身的警惕性產生自滿，此類風險的可能性只會隨之增加。因此，建立以人為本的問責制度，對於在審查階段保持嚴謹性，並鼓勵團隊建立確保程式碼受保護且可靠的長期最佳實踐與政策至關重要。

 

AI編碼工具潛在的法律與倫理困境

除了安全性問題之外，團隊領導者及其成員必須更加關注倫理甚至法律層面的考量。根據 LeadDev 的《2025 年 AI 影響報告》，近半數（49%）的軟體工程師擔心部署 AI 帶來的安全問題，更有將近一半的工程師正同時面臨法律、合規性與倫理方面的挑戰。

其中，與訓練資料集相關的著作權問題尤其可能產生實質性後果。即使 LLM 供應商從開源資料庫中提取資料來建構訓練集，最終生成的程式碼輸出即使並非直接複製，仍有可能基於未經授權的輸入。舉例而言，人類工程師可以閱讀開源資料庫、從中學習並編寫原創程式碼；但若 LLM 執行相同的操作，則可能被指控從事衍生性（Derivative）行為。

此外，當前的法律環境仍在持續演變中，呈現出晦暗不明的狀態。鑑於司法結論與指導方針仍不斷發展，Ropes & Gray 等國際律師事務所建議，使用第三方 AI 工具的企業需確保其獲得適當的賠償，以規避潛在的著作權侵權責任。因此，在涉及或考慮 AI 模型相關的合約中，風險分配的處理必須極為審慎。用戶在訓練任何利用 AI 的專有軟體時，應避免未經授權使用受著作權保護的內容，並應驗證訓練資料的來源（Provenance），以最大程度地降低侵權風險。

 

構建「安全第一」文化的關鍵最佳實務

軟體工程領導者及其團隊要如何持續培養「安全第一」的文化，並建立對倫理與法律考量的普遍意識，是當前最核心的挑戰。除了上述的建議之外，要達到更高的專業水準，必須從以下實務面深度著手：

建立人工智慧倫理與責任的內部準則 安全負責人需要明確建立對開發人員使用 AI 編碼工具的可追溯性、可見性與治理機制。這包括評估實際部署的工具、部署方式（包含倫理考量）、執行漏洞評估、程式碼提交數據，以及開發人員將內部準則融入安全與倫理使用 AI 的能力。內部準則亦應涵蓋對未經批准的 LLM 的識別，並具備記錄、警告或阻止使用未經批准的 AI 產品請求的能力。在制定準則時，領導者必須清晰說明某個產品潛在的風險後果，並解釋這些因素如何影響其核准與否的決策。

提升開發者技能與持續培訓 為避免因漏洞導致返工，以及法律和道德困境，團隊領導者必須透過持續性的教育與訓練，提升開發人員的技能，使其更加精通軟體安全、倫理與責任等可能影響其角色和產出的關鍵因素。團隊應實施基準測試（Benchmarking）來確定成員在這些主題上的技能水平，從而識別存在的差距，並承諾透過持續教育與改進措施來消除這些差距。這種投資不僅能降低風險，更能大幅提升團隊的專業能力。

溝通並強制執行嚴格的程式碼審查標準 將對 AI 生成的程式碼進行嚴格審查作為標準流程強制執行，確保其接受與任何其他手動編寫的程式碼同等的品質與安全審查。作為盡職調查（Due Diligence）的一部分，團隊應盡可能驗證所有使用者輸入，以防範 SQL 注入攻擊（SQL Injection），同時對輸出進行編碼以阻止跨站點腳本（XSS）漏洞。開放網路應用程式安全計畫（OWASP）與軟體工程學院（SEI）的 CERT 部門提供了有關安全編碼的額外最佳實務，團隊應充分借鑒。同時，開發人員本身也應參與最佳實務的制定，藉此提高他們對風險管理的參與度，並增強他們承擔責任的能力。

 

創新與問責的永續平衡

隨著軟體開發人員越來越依賴 AI 來滿足日益緊迫的生產期限，安全領導者必須與他們緊密合作，確保他們具備充分的意識與能力，對其輸出及 AI 輔助程式碼可能產生的任何潛在危險訊號負起完全責任。透過制定關於安全、倫理和法律問題的指導方針，並投資於遵循這些指導方針所需的培訓和基準測試，團隊將能夠以更高的專業水平和效率開展工作。他們將在不犧牲速度或創新的前提下達成目標，同時最大限度地減少中斷 SDLC 的隱患，這正是當前軟體開發團隊所必須的強大能力。

資料來源：https://www.securityweek.com/how-software-development-teams-can-securely-and-ethically-deploy-ai-tools/