AIMochi | AI 撰寫程式碼:AI筆記 Prowler 如何在「代理式雲端時代」重新定義 SaaS 與資安邊界

AI 撰寫程式碼:AI筆記 Prowler 如何在「代理式雲端時代」重新定義 SaaS 與資安邊界

  • Home
  • Blog
  • AI 撰寫程式碼:AI筆記 Prowler 如何在「代理式雲端時代」重新定義 SaaS 與資安邊界
AI 撰寫程式碼:AI筆記 Prowler 如何在「代理式雲端時代」重新定義 SaaS 與資安邊界

AI 撰寫程式碼:AI筆記 Prowler 如何在「代理式雲端時代」重新定義 SaaS 與資安邊界

一位播客主持人介紹了一個開源專案:Prowler,一個用來檢查雲端安全設定的工具,支援 AWS、Google Cloud、Microsoft 365 等主流雲端平台。

它在 GitHub 上已經累積超過一萬三千顆星,背後是一個活躍的開源社群。

但真正讓這場對話變得不尋常的,不是工具本身,而是一句幾乎被輕描淡寫帶過的話:

「現在幾乎 100% 的提交程式碼,都是 AI 生成的。」

這並非未來式,而是現在進行式。

筆者透過 AIMochi 筆記工具,整理多方公開資訊和最新報導內容,來探討這一刻,整個雲端安全產業的敘事開始出現不同......

從「手寫安全工具」到「AI生成系統」的轉折點

Prowler 的起源非常典型:一個工程師在管理 AWS 帳號時,為了避免錯誤設定與資安漏洞,開始寫工具。

一開始,它只是腳本。

後來,它變成開源專案。

再後來,它變成企業級雲端安全基礎設施。

但在 AI 進入之後,事情變了。

開發者除了是「寫工具的人」,更是「定義工具行為的人」。

AI 開始負責:

  • 寫檢測規則

  • 生成掃描邏輯

  • 建立測試案例

  • 甚至提交 Pull Request

人類的角色逐漸從「程式作者」轉向「系統審核者」。

這種轉變,本質上比 DevOps 或 Cloud Native 更劇烈。

因為它改變的是「誰在創造軟體」。

雲端安全的本質:從 AI 判斷 → 確定性系統

對話中有一個核心觀點反覆被強調:

AI 不適合直接做安全決策,但非常適合理解上下文。

這句話其實劃出了一條非常重要的分界線。

在雲端安全中,例如:

  • S3 bucket 是否公開

  • IAM 權限是否過度授權

  • API endpoint 是否暴露

  • Kubernetes cluster 是否錯誤配置

這些問題不能「大致正確」。

它們必須是:100% 可驗證(deterministic)

這就是為什麼像 Prowler 這類工具仍然重要。

AI 可以告訴你「可能有風險」,但只有確定性系統可以告訴你:

「這裡就是錯的,而且為什麼錯。」

這也是未來 Agentic AI 系統的核心矛盾:

  • AI 負責推理

  • 工具負責真相

Agentic AI 正在重寫 SaaS 的角色,而不是消滅它

當 AI Agent 能夠操作工具時,一個常見焦慮出現:

SaaS 是否會被取代?

對話中的回答非常關鍵:

SaaS 不會消失,但它的角色會改變。

原因有三個:

(1)工具仍然掌握「真實世界狀態」

像 AWS、Azure、Google Cloud 這些系統,本質上是:現實世界的狀態資料庫

AI 無法憑空知道:

  • 哪個 API endpoint 開著

  • 哪個權限被錯誤配置

  • 哪個 Bucket 暴露在 Public Internet

這些仍然需要工具掃描。

(2)AI 不擅長「持續一致性」

雲端安全不是一次性任務,而是:

持續監控 + 修復 + 再驗證的循環

這需要穩定邏輯,而不是隨機生成結果。

(3)真正價值在「確定性 + 自動化的結合」

未來 SaaS 的價值不再只是 UI,而是:

  • 可被 AI 操作的 API

  • 可被 Agent 呼叫的工作流

  • 可被驗證的安全規則庫

這也是 Prowler 正在走的方向:

從工具 → 平台 → Agent 可操作系統

當 AI 開始寫 100% 程式碼,問題反而變了

很多人會以為:

AI 寫程式 = 工程師失業

但實際上,問題變成:「誰負責驗證 AI 寫的東西?」

在 Prowler 的案例中,即使 AI 生成幾乎全部程式碼:

仍然需要:

  • 安全測試

  • 合規驗證

  • 社群審查

  • CI/CD pipeline 檢查

這意味著:

軟體開發從「創作問題」變成「治理問題」

這與 McKinsey 在 AI 產業研究中的結論一致:

AI 提升生產力,但增加治理成本(governance overhead)

開源、AI 與「工具被重寫」的現實

開源世界長期存在一個假設:

誰都可以 Fork 一個工具,做出更好的版本

但 AI 改變了成本結構:

以前:

  • 重寫工具 = 幾個月工程

現在:

  • 重寫工具 = 幾小時 prompt + AI code generation

因此真正的護城河不再是:

  • 程式碼

  • 架構

  • 功能

而是:生態系 + 確定性資料庫 + 長期信任

這也是 Prowler 強調「registry」概念的原因:

  • 哪些檢查是可信的

  • 哪些修復是安全的

  • 哪些規則是可重用的

這些才是 AI 無法輕易取代的部分。

Agent 時代的雲端安全:從被動防禦到閉環系統

傳統雲端安全是:

人 → 工具 → 報告 → 人決策

但 Agentic AI 正在改成:

Agent → 工具 → 修復 → 驗證 → 再執行

這形成一個閉環:

  • 偵測

  • 判斷

  • 修復

  • 再檢查

而 Prowler 正在轉型成:「Agent 驅動的雲端防禦系統」

甚至開始支援:

  • 自動 PR 修復

  • 即時報告生成

  • CISO 等級簡報輸出

  • 圖資料庫風險關聯分析

真正的衝擊:除了 AI 取代工具,更是工具開始「被 AI 操作」

最關鍵的轉折點在這裡:

AI 不只是寫工具,而是開始操作工具。

這意味著:

  • CLI 不再是人用的

  • Dashboard 不再是人看的唯一介面

  • API 成為 AI 的語言

當這件事成立時:

SaaS 不再是「軟體」,而是「可操作的現實層」

下一個 SaaS 競爭,除了功能,更是「可被 AI 理解的能力」

回到這場對話的核心,其實除了 Prowler,筆者更看見一個更大的問題:

當 AI 可以寫 100% 程式碼時,軟體還剩下什麼價值?

答案逐漸清晰:

  • 可驗證性

  • 可操作性

  • 可持續性

  • 可被 Agent 使用的結構

這些,才是下一代 SaaS 的核心。

而 Prowler 只是第一批站在這條轉變路徑上的工具之一。

真正的變化還沒結束。

它才剛開始。

以上僅供參考與資訊分享之用!若想快速了解更多資訊,透過 AIMochi 筆記工具,幫我們從海量資料中,梳理出關鍵資訊,讓我們精準掌握重要訊息!

馬上開始使用AIMochi