Trí Tuệ Nhân Tạo Giúp Lập Trình Nhanh Hơn, Nhưng Cũng Đánh Đổi Bằng Rủi Ro An Ninh Gấp Bội

Bên dưới lớp vỏ bóng bẩy của hiệu suất, các trợ lý mã do AI hỗ trợ đang đẩy giới phát triển ứng dụng đối mặt với những cơn sóng ngầm mới về an ninh – một cái giá mà nhiều doanh nghiệp lớn có thể chưa lường hết.

Trong vòng chưa đầy một năm, bộ ba trợ lý lập trình AI đình đám – Claude Code của Anthropic, GPT-5 của OpenAI, và Gemini 2.5 Pro của Google – đã khuấy đảo cách các nhà phát triển phần mềm tiếp cận công việc của mình. Nhưng song song với tốc độ “thần tốc” và lượng mã nguồn bùng nổ mà chúng mang lại, bức tranh an ninh phần mềm lại nổi lên hàng loạt cảnh báo đỏ đáng suy ngẫm.

Công ty chuyên về an ninh ứng dụng Apiiro vừa thực hiện một khảo sát lớn, phân tích hàng chục nghìn repository và hàng nghìn lập trình viên đang làm việc cho các tập đoàn Fortune 50 trên toàn cầu. Kết quả phơi bày một nghịch lý khó chối bỏ: Những ai được AI hỗ trợ viết mã tạo ra lượng code gấp 3-4 lần so với đồng nghiệp truyền thống, nhưng đồng thời lại nhân lên gấp 10 lần các vấn đề về an ninh phần mềm.

AI Sửa Lỗi Chính Tả, Nhưng Lại Tạo Ra Các “Quả Bom Nổ Chậm”

“Vấn đề an ninh” mà Apiiro chỉ ra không chỉ dừng lại ở lỗi bảo mật có thể khai thác, mà cả một “rừng” rủi ro tiềm ẩn: từ việc thêm các thư viện mã nguồn mở chưa được kiểm soát, mẫu code thiếu an toàn, lộ thông tin bí mật, đến sai sót trong cấu hình đám mây.

Tính riêng tháng 6/2025, chỉ riêng code sinh ra bởi AI đã tạo ra hơn 10.000 trường hợp được đánh dấu là “tìm thấy rủi ro an ninh” trong bộ dữ liệu của Apiiro – tăng gấp 10 lần so với cuối năm 2024.

“Nói ngắn gọn, AI không chỉ nhân lên một dạng lỗ hổng, mà là thuộc mọi loại cùng lúc,” ông Itay Nussbaum – Quản lý sản phẩm của Apiiro viết trong blog phân tích. “Thông điệp đối với lãnh đạo doanh nghiệp rất rõ ràng: Khi bạn triển khai AI coding, phải song song triển khai quản trị An ninh Ứng dụng bằng AI, nếu không, bạn đang mở rộng rủi ro an ninh tương ứng với mức tăng năng suất.”

Nhiều Mã Hơn, Review Khó Hơn, Và Những Lỗi Ngầm Nguy Hiểm

Một hệ quả khác được Apiiro chỉ ra: các AI assistant thường "nhồi" nhiều đoạn mã vào ít pull request hơn, khiến việc kiểm tra, xem xét mã (“code review”) phức tạp lên nhiều lần. Đề xuất thay đổi từ AI thường lan rộng đến nhiều phần hệ thống, tiềm ẩn nguy cơ bỏ sót lỗi. Đã có trường hợp AI thay đổi tiêu đề xác thực (authorization header) ở nhiều dịch vụ; nhưng do một dịch vụ “con” chưa cập nhật kịp, dẫn đến tình trạng xác thực ngầm thất bại – hậu quả khó phát hiện ngay lập tức.

Tuy nhiên, không thể phủ nhận mặt tích cực: các trợ lý AI đã giúp giảm 76% lỗi cú pháp và cắt giảm tới 60% bugs logic – yếu tố trực quan giúp sản phẩm “chạy mượt” hơn. Nhưng đổi lại, các lỗ hổng nghiêm trọng lại bùng nổ: các đường dẫn leo thang quyền hạn (“privilege escalation paths”) tăng hơn 322% và lỗi kiến trúc thiết kế tăng 153%.

Nussbaum kết luận: “AI sửa lỗi chính tả, nhưng lại để lại những quả bom hẹn giờ.”

Hệ Thống An Ninh... Dễ “Rò”

Các số liệu của Apiiro còn cho thấy, các lập trình viên dùng AI để hỗ trợ có tỉ lệ “vô tình” để lộ credentials, secret keys đám mây cao gấp đôi so với đồng nghiệp tự viết code. Việc phụ thuộc vào AI đồng nghĩa với việc phó mặc một phần kiểm soát cho “hộp đen” này – khi AI học từ dữ liệu đầy các lỗ hổng đã tồn tại và khuynh hướng “lặp lại” các sai lầm khi sinh mã là rất lớn.

Các nhận định này cũng phù hợp với nghiên cứu của các trường Đại học San Francisco, Institute for Artificial Intelligence (Canada), và University of Massachusetts Boston (tháng 5/2025), kết luận: cho AI cải tiến code một cách lặp đi lặp lại, bảo mật tổng thể bị suy yếu – vì AI học và lặp lại chính các lỗ hổng tiềm tàng trong dữ liệu huấn luyện.

Trớ trêu thay, trong khi trí tuệ nhân tạo đang bị chỉ trích vì dễ dàng tạo ra lỗ hổng, thì chính nó lại là “siêu thợ săn” phát hiện lỗ hổng zero-day trên Android với hiệu suất vượt xa con người.

Năng Suất Tăng – Phản Biện Trái Chiều

Một điểm gây tranh cãi trong báo cáo: trong khi Apiiro khẳng định AI giúp “tăng tốc” năng suất, một số nghiên cứu mới đây của METR (Model Evaluation & Threat Research) lại ghi nhận AI khiến quá trình phát triển phần mềm chậm đi. Tuy nhiên, có thể Apiiro chỉ tính thời gian tạo mã, không kể xử lý các lỗi phát sinh do AI gây ra.

Dù sao, các doanh nghiệp lớn đang phải đối mặt với một thực tế vừa đáng mừng, vừa đáng lo: AI là cánh tay đắc lực, nhưng cũng là con dao hai lưỡi. Nếu chỉ nhìn vào lượng mã và tốc độ hoàn thành mà quên đầu tư nghiêm túc cho AppSec thông minh, quy mô rủi ro tăng trưởng cùng năng suất là điều khó tránh khỏi.

Trí tuệ nhân tạo đang tạo nên một kỷ nguyên mới cho phát triển phần mềm – nhanh hơn, mạnh mẽ hơn, nhưng cũng tiềm ẩn nhiều “mìn an ninh” hơn bao giờ hết. Quản trị rủi ro phải là ưu tiên song hành với khai thác năng suất, để tốc độ không phải là “giá” phải trả bằng an toàn.