Nội dung chính
1. Tại sao "cấm AI" không phải giải pháp
Nhiều quản lý nghe về rủi ro của vibe coding rồi ra lệnh: "Team không được dùng AI để viết code."
Kết quả thực tế: Team vẫn dùng, nhưng làm lén và không báo cáo khi có vấn đề.
Theo khảo sát 2026, 94,3% lập trình viên Việt Nam đang dùng công cụ AI coding. Nếu bạn cấm, bạn đang chiến đấu với thực tế. Thay vào đó, hãy đặt ra khung quản trị rõ ràng: AI dùng được ở đâu, cần review gì trước khi ship.
2. Nguyên tắc cốt lõi: không phải tất cả code đều như nhau
Đây là insight quan trọng nhất mà nhiều doanh nghiệp bỏ qua:
Code giao diện và code xử lý thanh toán có mức độ rủi ro hoàn toàn khác nhau.
Nếu AI viết sai màu nút bấm → người dùng thấy xấu, không sập hệ thống.
Nếu AI viết sai logic kiểm tra quyền truy cập → khách hàng A xem được dữ liệu của khách hàng B.
Vì vậy, giải pháp không phải "cấm AI" hay "để AI làm tất cả" — mà là phân loại rõ từng loại code.
3. Khung 3 vùng rủi ro
Vùng Xanh — AI viết tự do, review nhanh
Đây là những việc AI làm tốt và rủi ro thấp:
- Giao diện, CSS, HTML template
- Tài liệu, comment code
- Boilerplate (cấu trúc lặp đi lặp lại)
- Test scaffolding (khung viết test)
- Script migration database (không có thay đổi dữ liệu)
- Code ghi log
Quy trình: AI viết → 1 người review nhanh → chạy test tự động → deploy
Vùng Vàng — AI viết nhưng bắt buộc review kỹ
Những việc AI có thể làm, nhưng cần ít nhất 2 người review:
- Logic nghiệp vụ (tính giá, xét duyệt đơn hàng, phân quyền người dùng)
- Tối ưu truy vấn database
- Thiết kế API endpoint
- Code xử lý lỗi
- Tính năng cache và đồng bộ dữ liệu
Quy trình: AI viết → review cặp (2 dev) → test coverage ≥80% → duyệt kiến trúc → deploy
Vùng Đỏ — Con người viết, AI chỉ gợi ý
Những tính năng này không được để AI tự quyết định:
- Đăng nhập, xác thực, phân quyền
- Xử lý thanh toán
- Mã hóa và giải mã dữ liệu
- Xóa dữ liệu người dùng
- Cấu hình bảo mật hệ thống
- Logic kiểm tra tuân thủ pháp lý
Quy trình: Lập trình viên senior viết → chuyên gia bảo mật review → kiểm thử xâm nhập nếu cần → deploy
AI có thể gợi ý và giải thích, nhưng con người phải hiểu và tự viết phần cuối cùng.
4. Checklist trước khi deploy code AI
Dán cái này lên tường phòng dev của bạn:
VÙNG XANH — trước khi deploy:
[ ] Chạy test tự động, pass hết
[ ] Không có API key hay mật khẩu nào hardcode trong code
[ ] Đã review sơ qua bởi 1 người
VÙNG VÀNG — thêm các bước:
[ ] Đã có 2 người review độc lập
[ ] Test coverage đạt ≥80%
[ ] Thay đổi database có thể rollback được
VÙNG ĐỎ — bắt buộc:
[ ] Được viết/kiểm tra bởi senior dev, KHÔNG phải AI
[ ] Có chuyên gia bảo mật review
[ ] Có plan rollback nếu lỗi
[ ] Audit log đã bật5. Quy trình triển khai thực tế cho team Việt
Tuần 1-2: Phân loại codebase hiện tại
Ngồi lại với team, nhìn vào từng phần của ứng dụng và dán nhãn: xanh, vàng, hay đỏ. Đừng cần hoàn hảo ngay — làm thô trước, tinh chỉnh sau.
Tuần 3-4: Viết chính sách ngắn gọn
Không cần văn bản dài 20 trang. Một trang A4 với 3 danh sách là đủ: AI dùng được ở đâu, cần review gì, ai chịu trách nhiệm khi sự cố.
Tháng 2: Áp dụng và đo kết quả
Theo dõi: số lỗi trong production giảm không? Thời gian release có nhanh hơn không? Điều chỉnh chính sách dựa trên dữ liệu thực tế.
Điều này ảnh hưởng gì đến bạn?
Nếu bạn đang quản lý một team lập trình và chưa có quy trình AI coding rõ ràng:
Rủi ro thực tế ngay bây giờ:
- Lập trình viên đang paste code bảo mật vào AI công khai mà bạn không biết
- Code AI được ship lên production mà không ai review
- Khi có sự cố, không ai biết phần đó do AI hay người viết
Bắt đầu ngay với 1 bước đơn giản:
Họp team 30 phút. Đặt câu hỏi: "Phần nào trong app của mình mà nếu có lỗi thì nguy hiểm nhất?" Những phần đó là Vùng Đỏ. Cấm AI tự viết. Xong.
Không cần làm phức tạp. Làm từng bước nhỏ.
Ví dụ thực tế — phân loại cho app thương mại điện tử
| Tính năng | Vùng | Lý do |
|---|---|---|
| Trang hiển thị sản phẩm | 🟢 Xanh | Sai chỉ ảnh hưởng giao diện |
| Tính phí vận chuyển | 🟡 Vàng | Sai ảnh hưởng doanh thu |
| Thanh toán online | 🔴 Đỏ | Sai dẫn đến mất tiền khách |
| Đăng nhập, đặt lại mật khẩu | 🔴 Đỏ | Sai dẫn đến lộ tài khoản |
| Gửi email xác nhận đơn | 🟡 Vàng | Sai khách hàng không nhận được |
| CSS trang chủ | 🟢 Xanh | Sai chỉ xấu, không nguy hiểm |
Số liệu & thống kê
| Chỉ số | Con số | Nguồn |
|---|---|---|
| Developer Việt dùng AI coding tool | 94,3% | IPS News, 2026 |
| Code AI có lỗi bảo mật nhiều hơn code người | 2,74 lần | CodeRabbit, 2025 |
| Giảm lỗi bảo mật sau khi có governance | 94% | Case study Salesforce/LinearB |
| Tăng tốc độ delivery sau governance | 37% | Case study Salesforce/LinearB |
| Chi phí governance team 5 người/tháng | 6 triệu VND | Ước tính từ giá công cụ |
Sources
| # | Tên bài | URL | Ghi chú |
|---|---|---|---|
| 1 | State of AI vs human code | https://www.coderabbit.ai/blog/state-of-ai-vs-human-code-generation-report | EN - số liệu thực tế |
| 2 | Vibe coding enterprise risks | https://www.cio.com/article/4148288/vibe-coding-your-own-enterprise-apps-is-edgy-business.html | EN - CIO.com |
| 3 | Hidden dangers of vibe coding | https://secureleap.tech/blog/the-hidden-dangers-of-vibe-coding-your-security-team-doesnt-want-you-to-know-about | EN - bảo mật |
| 4 | Vibe coding: phát nhanh hôm nay, nợ kỹ thuật ngày mai | https://vndigitech.com/vibe-coding-tu-phat-nhanh-hom-nay-no-ky-thuat-ngay-mai/ | VI - tech blog VN |
