Vibe coding tạo mã dễ tổn thương ^{CEFR B2}

Các nhà nghiên cứu tại Georgia Tech cảnh báo một phong cách lập trình gọi là "vibe coding" đang tạo ra các đợt mã dễ tổn thương. Vibe Security Radar, do Systems Software & Security Lab (SSLab) phát triển, quét cơ sở dữ liệu lỗ hổng công khai để xác định lỗi, xem lịch sử mã và gắn cờ khi có dấu hiệu của công cụ generative AI như Claude, Gemini và GitHub Copilot.

Tính đến nay radar đã xác nhận 74 trường hợp, trong đó 14 được xếp mức critical và 25 là high. Các lỗ hổng phát hiện gồm command injection, authentication bypass và server-side request forgery. Nhóm cũng nhận thấy các mô hình AI có xu hướng lặp lại cùng một lỗi, nên khi nhiều nhà phát triển dùng cùng một mô hình thì cùng một sai sót xuất hiện ở nhiều dự án.

Radar có thể truy ra siêu dữ liệu như thẻ đồng tác giả, email bot và chữ ký công cụ đã biết, nhưng nếu những dấu hiệu này bị xóa thì công cụ không thể nhận diện. Vì vậy nhóm đang chuyển sang phát hiện theo hành vi, tận dụng các mẫu trong cách đặt tên biến, cấu trúc hàm và xử lý lỗi để nhận diện mã do AI viết mà không cần siêu dữ liệu. Họ cũng cải tiến quy trình xác minh và mở rộng nguồn lỗ hổng quét để có bức tranh toàn diện hơn.

Diện tấn công đang mở rộng khi các tác nhân AI trở nên tự động hơn. Radar ghi nhận khoảng 18 trường hợp trong bảy tháng ở nửa sau năm 2025, sau đó 56 trường hợp trong ba tháng đầu năm 2026; riêng tháng 3 năm 2026 có 35 trường hợp, nhiều hơn toàn bộ năm 2025. Khi một agent tự xây dựng tính năng mà không có xác thực, đó là một thiết kế sai sót chứ không phải lỗi gõ phím, theo Zhao. SSLab khuyến nghị rà soát kỹ mã do AI sinh, cho prompt chi tiết hơn và dùng công cụ kiểm tra mã để tránh rủi ro.

Source: Georgia Tech