Vibe Coding 進入銀行業 監管尚未跟上

「Vibe Coding」這個原本在矽谷新創圈流行的概念，正在快速擴散到傳統金融業。所謂 Vibe Coding，是指開發者只需向 AI 工具描述想要的功能與感覺（vibe），AI 就能自動生成可上線的應用程式碼，省去過去需要的詳細規格撰寫與逐行手寫。這項變革過去主要在新創與消費 App 領域發酵，但現在連銀行都開始採用，而監管機關尚未來得及制定對應規範。

從技術背景看，當前頂尖 AI 模型（如 Claude、ChatGPT、Gemini）已能可靠完成從前端 UI、後端 API、資料庫設計、到簡單系統整合的程式碼產出。對銀行而言，這意味著一個業務人員不需要深入理解程式語言，就能向 AI 描述「我需要一個能讓客戶查詢過去三個月信用卡帳單並匯出 PDF 的功能」，然後在數小時內取得可運行的雛形。

然而銀行業的特殊性在於合規與風險管理。傳統的銀行軟體開發流程涉及多層審核：需求審查、架構審查、安全審查、合規審查、上線審查、變更管理等。當 Vibe Coding 把開發週期從週縮短到小時，這套審核流程的時間結構與責任分配都被顛覆。如果沒有對應的治理機制，「AI 生成的程式碼」可能在沒有完整審查下進入生產環境，引發資安、合規、客戶資料保護等多重風險。

從監管角度，問題更為複雜。當前美國 OCC、FDIC、Fed 等銀行監管機關尚未針對「AI 生成程式碼進入銀行系統」訂定明確規範。歐盟的 EU AI Act 雖然有針對高風險 AI 應用的規範，但其涵蓋範圍偏向「AI 對外決策」，對「AI 內部開發」的條款相對模糊。台灣金管會雖已發布金融業 AI 治理指引，但對 Vibe Coding 這類具體做法的規範仍待補強。

對銀行 CIO 與 CISO 而言，當前最務實的做法是建立「AI 生成程式碼的內部治理框架」。具體可包括：所有 AI 生成程式碼必須通過自動化安全掃描、AI 工具的權限隔離、生產環境變更必須由人類工程師具名核可、AI 使用記錄完整可追溯等。這些做法可降低短期風險，但也意味著銀行內部 IT 流程必須快速更新。

對技術人才的影響有兩個方向。第一，初階軟體工程師的需求將進一步壓縮，特別是純粹「依規格寫程式」的角色。第二，能夠「設計 AI 工作流程、審核 AI 產出、確保系統整合品質」的中高階工程師價值反而上升。這項供需變化將重新定義金融業的 IT 組織結構。

未來觀察重點將是美國、歐盟、台灣等地監管機關對 Vibe Coding 的具體規範時程、首批因 AI 生成程式碼引發的銀行事故案例、以及台灣金融業對這項新型開發模式的具體政策。當「程式碼即合規」成為新挑戰，銀行業的數位轉型將進入更複雜的下一階段。