Scope creep không phải đột ngột xuất hiện — nó tích lũy từng ticket một, từng "nhỏ thôi" một. Team tôi mất một sprint rưỡi mới nhận ra điều đó, cho đến khi chúng tôi để AI theo dõi thay. Bài này chia sẻ kiến trúc thực tế: Azure DevOps API + Python feature engineering + LLM risk scoring — đủ để bạn triển khai trong một tuần.
Đây là lần thứ 11 tôi thấy cùng một kịch bản: team build AI feature trong vài sprint, celebrate go-live, rồi 6 tháng sau không ai biết model version nào đang chạy, ai đã approve nó, và dữ liệu nào đã được dùng để train. Governance không phải bureaucracy — đó là cách duy nhất để scale AI mà không mất kiểm soát.
Prompt injection là lỗ hổng #1 theo OWASP LLM Top 10, xuất hiện trong 73% production AI deployment. 77% nhân viên đã paste dữ liệu công ty vào chatbot AI. Và từ ngày 2/8/2026, EU AI Act bắt đầu enforce các hệ thống AI "high-risk" — mức phạt stack lên GDPR, có thể lên đến 11% doanh thu toàn cầu. Bài này là 7-domain checklist để team deploy AI không bị "lỗ" về bảo mật và pháp lý.
