Công Cụ Lập Trình AI Tạo Ra Nhiều Lỗi Hơn Là Sửa Chữa

Các Công Cụ Lập Trình AI Tạo Ra Nhiều Lỗi Hơn Là Sửa Chữa

Nghiên cứu mới cho thấy hơn 40% ứng dụng được tạo bởi AI vô tình tiết lộ dữ liệu người dùng nhạy cảm, trong khi các trợ lý lập trình AI thường xuyên mang đến những lỗ hổng nghiêm trọng.

Bởi Darryl K. Taft, ngày 2 tháng 7, 2025

AI Coding Tools Create More Bugs Than They Fix

Mobb, nhà cung cấp công nghệ tự động khắc phục lỗ hổng bảo mật, đã ra mắt các công cụ mới giúp bảo vệ mã nguồn do AI tạo ra mà không làm chậm quá trình phát triển.

Các công cụ lập trình sử dụng AI và trào lưu “vibe coding” đã giúp các nhà phát triển xây dựng mã nguồn nhanh hơn bao giờ hết, nhưng bên dưới sự tăng năng suất đó là những risks bảo mật chưa được nhận diện.

Những nền tảng như Lovable, BoltCursor cho phép bất kỳ ai tạo ra ứng dụng chức năng chỉ trong vài phút, trong khi các lập trình viên chuyên nghiệp cũng đang tận dụng trợ lý AI để viết code nhanh hơn.

Tuy nhiên, nghiên cứu gần đây cho thấy hơn 40% ứng dụng do AI tạo ra vô tình tiết lộ dữ liệu nhạy cảm của người dùng ra internet công cộng. Điều đáng báo động hơn là các trợ lý lập trình AI thường xuyên tạo ra lỗ hổng trong các mã nguồn chuyên nghiệp, theo Tomer Cohen, phó chủ tịch sản phẩm của Mobb chia sẻ với The New Stack.

Giải pháp song phương

Startup tại Boston này áp dụng cách tiếp cận kép để giải quyết cả hai mặt của phổ lập trình AI: những người xây dựng casual dùng nền tảng không-code và các lập trình viên chuyên nghiệp dùng trợ lý AI để tăng tốc công việc.

Tuần này, Mobb ra mắt hai công cụ bổ trợ nhau để xử lý các rủi ro bảo mật khi lập trình AI: SafeVibe.CodesMobb Vibe Shield.

SafeVibe.Codes tập trung vào vấn đề bảo mật với dịch vụ quét miễn phí trên web. Người dùng chỉ cần dán URL ứng dụng để nhận phân tích bảo mật ngay lập tức, cảnh báo những cơ sở dữ liệu bị lộ, thông tin cá nhân bị rò rỉ và các cấu hình sai về quyền truy cập. Công cụ còn đưa ra hướng dẫn sửa chữa cụ thể mà không đòi hỏi kiến thức kỹ thuật sâu.

Theo lời Cohen: “Bảo mật không nên là đặc quyền dành riêng cho những ai có kiến thức kỹ thuật sâu hoặc ngân sách lớn. Bằng cách làm cho SafeVibe.Codes hoàn toàn miễn phí và dễ tiếp cận, chúng tôi đang dân chủ hóa kiểm thử bảo mật giống như AI đã dân chủ hóa việc phát triển ứng dụng.”

CEO Mobb, Eitan Worcel, cho biết SafeVibe.Codes là dịch vụ miễn phí hỗ trợ nhanh cho ngành công nghiệp nhận diện một số loại lỗ hổng trong các app do vibe coding tạo ra. Ông cũng nhấn mạnh rằng chính nền tảng Bolt — một trong những công cụ vibe coding hàng đầu — đã được sử dụng để xây dựng trang SafeVibe.Codes.

Công cụ quét phát hiện các vấn đề sau:

  • Tiếp xúc và truy cập trái phép cơ sở dữ liệu
  • Rò rỉ dữ liệu nhạy cảm
  • Cấu hình sai quyền hạn
  • Trang ẩn (ví dụ: /admin)
  • Các lỗ hổng bảo mật API phổ biến (sắp ra mắt)
  • Vấn đề xác thực dữ liệu (sắp ra mắt)

Trong tương lai, công cụ sẽ tích hợp thêm:

  • Giám sát thời gian thực: Cảnh báo liên tục khi phát hiện lỗ hổng mới.
  • Quét tiếp xúc trang: Phát hiện các trang và thông tin nhạy cảm bị công khai vô tình trong HTML, JavaScript hoặc API.
  • Phát hiện tiết lộ lệnh AI prompt: Nhiều ứng dụng dựa vào prompt AI làm giá trị cốt lõi; SafeVibe.Codes giúp phát hiện prompt bị lộ trong mã client-side hoặc API, ngăn việc sao chép hành vi AI độc đáo của bạn.
  • Phân tích bảo mật mã nguồn đầy đủ: Quét sâu mã để tìm lỗi tiêm nhiễm, phụ thuộc không an toàn, lỗi logic.
  • Kiểm tra tuân thủ: Tự động đảm bảo đạt chuẩn bảo mật và quy định bảo vệ dữ liệu.
  • Trung tâm giáo dục bảo mật: Hướng dẫn tương tác, thực hành tốt dành riêng cho ứng dụng AI-generated.

Giải pháp cho doanh nghiệp

Mobb Vibe Shield dành cho các lập trình viên chuyên nghiệp qua tích hợp IDE – hỗ trợ VS Code, GitHub Copilot, Cursor, Windsurf, JetBrains IDEs và Cline (sẽ có thêm các IDE khác).

Công cụ này liên tục quét mã khi lập trình viên viết code, tự động phát hiện và vá các lỗ hổng do AI trợ lý tạo ra trong thời gian thực. Nó tích hợp dễ dàng với workflow hiện tại qua Model Context Protocol (MCP).

Điểm khác biệt quan trọng là hệ thống không dùng AI để sửa lỗi bảo mật mà sử dụng các bản vá do các chuyên gia bảo mật Mobb kiểm duyệt, đảm bảo sửa lỗi thực sự mà không sinh ra lỗ hổng mới, Cohen nói.

Worcel chia sẻ: “Nhiều công ty ở mọi quy mô và ngành nghề đang ứng dụng vibe coding. Tuy nhiên, cả đội phát triển và bảo mật đều không đủ khả năng xử lý lượng code và lỗ hổng cực lớn do AI tạo ra. Công cụ quét truyền thống quá chậm và nhiều tiếng ồn, không thiết kế cho quy mô này. Mobb Vibe Shield được xây dựng từ đầu để là giải pháp an toàn cho vibe coding, hoạt động bên cạnh lập trình viên ngay trong công cụ AI họ chọn, phát hiện và sửa lỗi ngay khi code được tạo ra trước khi gây ra sự cố.”

Khủng hoảng tiềm ẩn trên các nền tảng no-code

Nhóm nghiên cứu của Mobb đã phân tích bảo mật sâu trên 5 nền tảng phát triển AI lớn: Lovable, Bolt, Base44, Replitv0. K

Comments

Post a Comment