AI đã giúp tăng gấp đôi năng suất lập trình viên trong năm 2024 — nhưng cái giá phải trả là gì? Dù AI tăng tốc quá trình phát triển mã nguồn, nhưng vẫn tạo ra lỗi trong khoảng 10–30% trường hợp. Các nhà nghiên cứu phát hiện hơn 5% mã do AI tạo ra từ các mô hình thương mại, và đáng kinh ngạc là 22% từ các mô hình mã nguồn mở, chứa tên gói không tồn tại – gây ra những lỗ hổng tiềm ẩn về bảo mật. Liệu các ứng dụng do AI hỗ trợ có đang phát triển quá nhanh khiến bảo mật không thể theo kịp?

Những lỗi này không chỉ là lỗi nhỏ. Chúng tạo ra các điểm yếu mà kẻ tấn công có thể khai thác. Dù AI giúp rút ngắn thời gian phát triển ứng dụng di động, thì các rủi ro bảo mật cũng đang gia tăng với tốc độ tương đương.

AI đang tăng tốc phát triển ứng dụng di động như thế nào (vượt xa các mô hình ngôn ngữ lớn – LLMs)

AI không còn là viễn cảnh của tương lai — mà đang hiện diện ngay hôm nay, góp phần tăng tốc phát triển ứng dụng di động. Dù các tiến bộ trong mô hình ngôn ngữ lớn (LLMs) gần đây đã thúc đẩy sự quan tâm và đầu tư vào AI, nhưng việc sử dụng AI để tạo mã không phải là điều mới — đây đã là một ứng dụng thực tiễn trong nhiều năm qua.

Một nghiên cứu của McKinsey cho thấy các lập trình viên sử dụng công cụ AI tạo mã có thể hoàn thành tác vụ nhanh gấp đôi so với những người không dùng. Tuy nhiên, hiệu quả còn phụ thuộc vào độ phức tạp của nhiệm vụ và kinh nghiệm của lập trình viên. AI mang lại lợi ích lớn nhất cho những công việc lặp đi lặp lại hoặc có yêu cầu rõ ràng, trong khi ít hiệu quả hơn với các vấn đề phức tạp, mang tính tư duy cao.

Hiện nay, lập trình viên đang tận dụng cả các mô hình AI chuyên biệt cho lập trình — như các công cụ hoàn thành mã tự động (“auto-complete for code”) — lẫn các mô hình nền tảng dựa trên LLM để tạo mã hiệu quả hơn. Từ việc giúp các nhóm xây dựng, kiểm thử và triển khai ứng dụng nhanh hơn bao giờ hết, các công cụ AI còn tối ưu hoá kiểm thử bảo mật, quản lý phụ thuộc và quy trình CI/CD, từ đó nâng cao hiệu quả trong toàn bộ vòng đời phát triển phần mềm.

Theo Khảo sát Lập trình viên StackOverflow năm 2024, 76% lập trình viên hiện đang hoặc sẽ sử dụng AI trong quá trình phát triển trong năm nay, và 82% trong số đó dùng AI để viết mã.

Dưới đây là một số cách chính mà AI đang thúc đẩy quá trình phát triển ứng dụng:

• Tự động tạo mã: Các công cụ lập trình AI có thể tạo ra các đoạn mã chức năng, giúp giảm thời gian viết mã thủ công. Lập trình viên chỉ cần nhập yêu cầu, AI sẽ sinh mã tương ứng, từ đó giúp họ tập trung vào các tác vụ cấp cao hơn, tăng năng suất và giảm lỗi từ những công việc lặp lại.

• Gợi ý SDK & thư viện: Các nền tảng quản lý phụ thuộc dựa trên AI phân tích yêu cầu của dự án và đề xuất SDK/API tương thích, giúp tiết kiệm thời gian nghiên cứu. Dù LLM có thể hỗ trợ phát hiện SDK, lập trình viên chủ yếu dựa vào các công cụ AI chuyên biệt để đánh giá độ tương thích, rủi ro bảo mật và hiệu năng.

• Kiểm thử & phân tích bảo mật tự động: Các công cụ kiểm thử AI tự động quét bảo mật, phát hiện lỗ hổng và tối ưu hoá kiểm thử chức năng, từ đó giảm sự phụ thuộc vào QA thủ công.

• Tự động hoá CI/CD & tối ưu hoá triển khai: AI cải thiện các quy trình tích hợp – triển khai liên tục bằng cách dự đoán sự cố tiềm ẩn và tự động hoá quy trình phát hành, giúp việc triển khai nhanh hơn và ổn định hơn.

Việc tạo mã bằng AI đang giúp tăng năng suất và thậm chí góp phần cải thiện bảo mật bằng cách đẩy nhanh quá trình phát hiện và xử lý lỗ hổng. Tuy nhiên, vẫn có một điểm cần lưu ý. Nghiên cứu cho thấy các mô hình AI đôi khi tạo ra mã không an toàn — điều này sẽ trở thành vấn đề nghiêm trọng nếu mã đó được sử dụng mà không qua kiểm tra kỹ lưỡng.

Code do AI tạo ra: Những rủi ro bảo mật tiềm ẩn trong ứng dụng di động của bạn

AI đang tăng tốc quá trình tạo mã, nhưng tốc độ luôn đi kèm với cái giá phải trả. Khác với lập trình viên con người, AI không thực sự hiểu các nguyên tắc bảo mật tốt nhất — điều này đồng nghĩa với việc nó có thể tạo ra hàng loạt lỗ hổng bảo mật mà tin tặc đang tích cực khai thác.

Tệ hơn nữa, trách nhiệm đảm bảo an toàn cho mã do AI sinh ra lại hoàn toàn thuộc về lập trình viên. Nếu không có các công cụ bảo mật phù hợp, doanh nghiệp có nguy cơ triển khai ứng dụng không an toàn, vi phạm các tiêu chuẩn tuân thủ và làm lộ người dùng trước các mối đe dọa mạng. Mã không an toàn thậm chí còn bị đưa lên các kho mã nguồn mở, làm nguyên liệu cho các mô hình mới và tạo ra một vòng lặp lỗ hổng bảo mật lan rộng.

• 46% chương trình do AI tạo ra chứa các lỗ hổng đã được liệt kê trong danh sách 25 điểm yếu phần mềm nguy hiểm nhất của MITRE (CWE Top 25, 2021).

• 48% mẫu mã do AI tạo chứa lỗi được phát hiện bởi công cụ phân tích ESBMC, trong khi nhiều đoạn mã khác không thể kiểm tra được do vòng lặp vô hạn, trình kiểm thử bị treo hoặc lỗi biên dịch.

• 76% nhân sự công nghệ tin sai rằng mã do AI viết an toàn hơn mã do con người viết, dẫn đến việc bỏ sót các lỗ hổng và đánh giá mã không đầy đủ (Chen et al., Evaluating Large Language Models Trained on Code).

Một vấn đề nghiêm trọng là code do AI tạo ra có thể vượt qua các bài kiểm tra chức năng trong khi vẫn chứa những lỗi bảo mật nghiêm trọng. Trong một số ngôn ngữ lập trình, các mô hình sinh code bằng AI thường đề xuất sử dụng thư viện và gói bên ngoài — nhưng điều này cũng mang theo rủi ro. Những nguồn bên ngoài này có thể Không tồn tại (do AI “ảo tưởng” tạo ra), Lỗi thời và chưa được vá lỗi, Hoặc mang mã độc ngay từ đầu.

Kẻ tấn công còn lợi dụng lỗi chính tả trong tên gói hoặc URL để đánh lừa lập trình viên tải về các phụ thuộc bị nhiễm mã độc — biến một thao tác tưởng chừng đơn giản thành một rủi ro an ninh nghiêm trọng.

Nếu không thực hiện kiểm thử bảo mật liên tục, các tổ chức có thể vô tình triển khai các ứng dụng chứa lỗ hổng, khiến người dùng, dữ liệu và hạ tầng của họ bị đe dọa bởi các cuộc tấn công mạng.

Code do AI tạo ra dễ bị thao túng hơn bao giờ hết

Code được tạo bởi AI có mức độ dễ bị tấn công, sửa đổi và thao túng cao một cách đặc biệt — điều này tạo ra những rủi ro mới mà các biện pháp bảo mật truyền thống không được thiết kế để xử lý. Gần một nửa số đoạn mã được tạo ra từ năm mô hình AI khác nhau được phát hiện chứa các lỗ hổng có thể khai thác, làm gia tăng nguy cơ bị tấn công mạng. Tệ hơn, kẻ tấn công giờ đây cũng đang sử dụng AI để tạo ra những mối đe dọa bảo mật hoàn toàn mới mà các công cụ hiện tại khó có thể phát hiện. Hai kiểu tấn công điển hình gồm:

• Tấn công đầu độc dữ liệu (Data poisoning): Kẻ tấn công thao túng dữ liệu huấn luyện của mô hình AI, làm tăng khả năng AI sẽ tạo ra mã độc hoặc mã chứa lỗ hổng. Hệ quả có thể là AI đề xuất các SDK bị xâm nhập, phương thức xác thực không an toàn hoặc thuật toán mã hóa dễ bị tấn công.

• Tấn công cài cửa sau (Backdoor attacks): Một “câu lệnh kích hoạt” bí mật có thể khiến mô hình tạo ra mã chứa lỗ hổng theo yêu cầu, qua mặt các kiểm soát bảo mật thông thường. Ngay cả khi lập trình viên cố gắng gỡ bỏ backdoor, mã độc có thể vẫn tồn tại một cách ẩn danh và bền vững, gây ra rủi ro lâu dài.

Ví dụ, nếu một kẻ tấn công đầu độc thành công một kho mã nguồn mở được sử dụng để huấn luyện mô hình AI, thì trong tương lai, mã do AI sinh ra có thể tự động gợi ý hoặc tích hợp các thành phần đã bị xâm nhập — ảnh hưởng đến hàng nghìn ứng dụng trước khi vấn đề được phát hiện.

Hiệu ứng lan tỏa của AI: Định hình lại rủi ro trong chuỗi cung ứng phần mềm

Việc sử dụng mã do AI tạo ra ngày càng nhiều không chỉ thay đổi cách phần mềm được xây dựng — mà còn đang tái định hình toàn bộ bức tranh về lỗ hổng bảo mật theo những cách có thể gây ảnh hưởng lâu dài đến chuỗi cung ứng phần mềm.

Những gì được viết ra hôm nay sẽ trở thành dữ liệu huấn luyện cho các mô hình AI trong tương lai — tạo ra một vòng lặp phản hồi, nơi các lỗ hổng, sai sót và thói quen lập trình thiếu an toàn có nguy cơ bị lặp lại thay vì được khắc phục. Các cuộc tấn công vào chuỗi cung ứng phần mềm trở nên khó phát hiện hơn, khi mã không an toàn lan rộng qua các kho mã nguồn mở và ứng dụng doanh nghiệp.

• Nợ kỹ thuật (Technical debt): Mã do AI tạo ra thường làm tăng nợ kỹ thuật, đòi hỏi phải viết lại, chỉnh sửa hoặc vá lỗi trong tương lai do các vấn đề về bảo mật hoặc hiệu năng. Điều này khiến các tổ chức phải chịu thêm gánh nặng trong việc giám sát, bảo trì và quản lý lỗ hổng, từ đó tăng chi phí vận hành và rủi ro bảo mật trong toàn bộ chuỗi cung ứng.

• Chức năng quan trọng hơn bảo mật: Các mô hình sinh mã bằng AI rất giỏi trong việc tạo ra mã “chạy được” — nhưng lại không ưu tiên tính bảo mật. Những mô hình này thường được huấn luyện để đạt điểm cao trong các bài kiểm tra như HumanEval, vốn đánh giá khả năng tạo mã Python chính xác, nhưng không kiểm tra mức độ an toàn của mã (Chen et al., Evaluating Large Language Models Trained on Code).

Chỉ một đoạn mã do AI tạo ra mà không được đánh giá kỹ lưỡng cũng có thể gây ra lỗ hổng tồn tại dai dẳng trong nhiều hệ sinh thái phần mềm. Kẻ tấn công có thể khai thác những điểm yếu này trên quy mô lớn, làm tăng nhu cầu cấp thiết cho các doanh nghiệp trong việc áp dụng các biện pháp bảo mật chủ động.

Code do AI tạo ra trong ứng dụng di động: Rủi ro tuân thủ và rủi ro kinh doanh

Các rủi ro bảo mật từ mã do AI tạo ra không chỉ dừng lại ở các lỗ hổng kỹ thuật — chúng còn kéo theo những thách thức nghiêm trọng về pháp lý và tuân thủ, mà các tổ chức không thể bỏ qua. Kẻ tấn công có thể khai thác các lỗ hổng này trên quy mô lớn, làm gia tăng sự cấp thiết trong việc triển khai các biện pháp bảo mật chủ động.

• Vi phạm quy định: Các lỗ hổng do AI tạo ra có thể khiến doanh nghiệp vi phạm các tiêu chuẩn như GDPR, CCPA, PCI DSS và các khung an ninh khác — dẫn đến nguy cơ bị phạt hành chính hoặc chịu trách nhiệm pháp lý.

• Gia tăng bề mặt tấn công: Quá trình phát triển có sự hỗ trợ của AI thường đưa vào các thư viện phụ thuộc mới và SDK chưa được kiểm chứng, khiến kẻ tấn công dễ dàng khai thác lỗ hổng trong ứng dụng di động của tổ chức.

• Chi phí vận hành cao hơn: Càng nhiều lỗ hổng thì càng cần nhiều bản vá, nhiều đợt kiểm toán và nhiều công sức bảo trì — làm tăng chi phí dài hạn cho đội ngũ bảo mật.

Các mô hình sinh mã bằng AI có khả năng tạo ra mã chạy được, nhưng về bảo mật thì lại chưa đủ tốt. Vấn đề là: chúng không kiểm tra xem đoạn mã đó có an toàn hay chứa lỗ hổng hay không.

Code do AI tạo ra trong ứng dụng di động: Rủi ro tuân thủ và rủi ro kinh doanh

Các rủi ro bảo mật từ mã do AI tạo ra không chỉ dừng lại ở các lỗ hổng kỹ thuật — chúng còn kéo theo những thách thức nghiêm trọng về pháp lý và tuân thủ, mà các tổ chức không thể bỏ qua. Kẻ tấn công có thể khai thác các lỗ hổng này trên quy mô lớn, làm gia tăng sự cấp thiết trong việc triển khai các biện pháp bảo mật chủ động.

• Vi phạm quy định: Các lỗ hổng do AI tạo ra có thể khiến doanh nghiệp vi phạm các tiêu chuẩn như GDPR, CCPA, PCI DSS và các khung an ninh khác — dẫn đến nguy cơ bị phạt hành chính hoặc chịu trách nhiệm pháp lý.

• Gia tăng bề mặt tấn công: Quá trình phát triển có sự hỗ trợ của AI thường đưa vào các thư viện phụ thuộc mới và SDK chưa được kiểm chứng, khiến kẻ tấn công dễ dàng khai thác lỗ hổng trong ứng dụng di động của tổ chức.

• Chi phí vận hành cao hơn: Càng nhiều lỗ hổng thì càng cần nhiều bản vá, nhiều đợt kiểm toán và nhiều công sức bảo trì — làm tăng chi phí dài hạn cho đội ngũ bảo mật.

Các mô hình sinh mã bằng AI có khả năng tạo ra mã chạy được, nhưng về bảo mật thì lại chưa đủ tốt. Vấn đề là: chúng không kiểm tra xem đoạn mã đó có an toàn hay chứa lỗ hổng hay không.

AI đang hiện diện trong phát triển ứng dụng di động — nhưng bảo mật không thể là chuyện nghĩ sau

AI không hề chậm lại — và các mối đe dọa đi kèm với nó cũng vậy. AI không chỉ giúp lập trình viên xây dựng ứng dụng nhanh hơn, mà còn giúp tội phạm mạng tạo và phát tán ứng dụng độc hại hiệu quả hơn bao giờ hết. Kẻ tấn công đang tận dụng AI để tạo mã độc, tự động hóa các chiến dịch lừa đảo và nguỵ trang phần mềm nguy hiểm theo cách ngày càng khó phát hiện.

Những tổ chức tích hợp kiểm thử bảo mật tự động cho ứng dụng di động ngay từ hôm nay sẽ là những tổ chức đi trước trong việc đối phó với lỗ hổng do AI sinh ra, rủi ro tuân thủ và bề mặt tấn công ngày càng mở rộng.

Dưới đây là ba cách chính mà mã do AI tạo ra có thể ảnh hưởng đến ứng dụng và người dùng của bạn:

• Sloppy apps:
  Mã do AI sinh ra thường thiếu kiểm tra bảo mật nghiêm ngặt, dẫn đến các ứng dụng có mã hóa yếu, xác thực không đúng cách hoặc chứa các lỗ hổng dễ khai thác. Nếu không được kiểm thử bảo mật kỹ lưỡng, những lỗi này có thể tồn tại âm thầm cho đến khi bị kẻ tấn công lợi dụng.
• Ứng dụng độc hại (Malicious apps):
  Kẻ xấu có thể dùng AI để tạo ứng dụng lừa đảo trông giống như phần mềm hợp pháp, nhằm đánh cắp thông tin đăng nhập hoặc cài đặt phần mềm gián điệp. Ngay cả các nền tảng lớn như Google Play và Apple App Store cũng gặp khó khăn trong việc kiểm soát. Chỉ trong năm 2024, hơn 200 ứng dụng độc hại đã bị phát hiện trên Google Play, với trên 8 triệu lượt tải trước khi bị gỡ bỏ.
• Cửa hàng ứng dụng bên thứ ba (Third-party app stores):
  Sự gia tăng của các kho ứng dụng thay thế (do các quy định như Đạo luật Thị trường Kỹ thuật số – DMA) làm tăng nguy cơ các ứng dụng AI độc hại không được kiểm duyệt lọt vào hệ sinh thái. Những cửa hàng này có thể không áp dụng các tiêu chuẩn bảo mật nghiêm ngặt như Google Play hoặc App Store, khiến người dùng dễ bị tấn công bởi Trojan hoặc ứng dụng lừa đảo.
• SDK và thư viện bị xâm nhập:
  Các trợ lý lập trình dùng AI thường đề xuất thư viện và SDK bên thứ ba mà không đánh giá rủi ro bảo mật. Lập trình viên có thể vô tình tích hợp các SDK lỗi thời, dễ bị tấn công, hoặc chứa mã độc, tạo ra cửa hậu mà kẻ tấn công có thể khai thác sau này.

Nếu không có kiểm thử bảo mật tự động, các doanh nghiệp có thể triển khai ứng dụng chứa lỗ hổng do AI tạo ra, phụ thuộc không an toàn và tiếp cận các kênh phân phối thiếu kiểm soát. Những tổ chức ứng dụng AI trong phát triển di động phải ưu tiên bảo mật, đảm bảo ứng dụng tuân thủ, vững chắc và được bảo vệ trước các mối đe dọa đang không ngừng tiến hóa.

Cân bằng giữa tốc độ và bảo mật giúp giảm thiểu rủi ro từ AI cho lập trình viên

Mã nguồn do AI tạo ra có thể sinh ra lỗ hổng trên diện rộng, khiến việc kiểm thử bảo mật chủ động trở nên thiết yếu đối với các ứng dụng di động. Các phương pháp đánh giá bảo mật truyền thống không thể theo kịp tốc độ phát triển của AI, nhưng tích hợp kiểm thử bảo mật tự động vào quy trình phát triển sẽ giúp phát hiện và khắc phục lỗ hổng trước khi triển khai.

• Kiểm thử bảo mật toàn diện:
  Cần thực hiện đầy đủ các hình thức phân tích tĩnh, động và tương tác (SAST, DAST và IAST), kết hợp với forced path execution để phát hiện các lỗ hổng ẩn trong toàn bộ kiến trúc ứng dụng. Phương pháp này đảm bảo bảo mật toàn trình – từ mã do AI sinh ra đến các thành phần phụ thuộc bên ngoài.
• SBOM kết hợp với SCA:
  Việc sử dụng danh mục phần mềm (SBOM – Software Bill of Materials) kết hợp với phân tích thành phần phần mềm (SCA) giúp xác thực các thành phần mã nguồn mở và bên thứ ba. Nó cho phép phát hiện lỗ hổng trong thư viện, các phụ thuộc lồng nhau và cả SDK được AI gợi ý — từ đó tránh việc sử dụng các gói mã bị xâm nhập một cách vô ý.
• Quản lý tập trung & tích hợp CI/CD:
  Kiểm thử bảo mật nên diễn ra mượt mà, không gây cản trở quy trình phát triển. Một nền tảng tập trung cho kiểm thử, giám sát và báo cáo giúp tối ưu hóa hoạt động bảo mật, trong khi tích hợp với pipeline CI/CD qua REST API đảm bảo kiểm thử bảo mật tự động mà không làm chậm quá trình phát triển.

Công cụ Q-mast cung cấp các phân tích tĩnh, động và hành vi để phát hiện rủi ro trong mã, thư viện và các thành phần phụ thuộc. Các lỗ hổng trong thế giới thực được phát hiện thông qua mô phỏng hành vi người dùng tùy chỉnh. Đồng thời, công cụ này đáp ứng các chuẩn bảo mật như OWASP, GDPR và NIAP, đảm bảo ứng dụng tuân thủ các tiêu chuẩn quy định. Với khả năng tích hợp liền mạch vào quy trình CI/CD, Q-mast tự động hóa kiểm thử bảo mật trên quy mô lớn và cung cấp báo cáo chi tiết cùng hướng dẫn khắc phục rõ ràng.

Hệ quả trong tương lai: Cần duy trì sự cảnh giác liên tục

Khi AI ngày càng được tích hợp sâu rộng trong quá trình tạo ứng dụng, người dùng cũng cần duy trì sự cảnh giác về bảo mật của các ứng dụng mà họ tải về và sử dụng. Thật không may, trong thế giới hiện nay với hàng triệu ứng dụng phục vụ vô số mục đích cùng các điều khoản sử dụng phức tạp, việc người dùng bình thường có thể theo dõi đầy đủ các rủi ro về bảo mật hay quyền riêng tư gần như là điều bất khả thi.

Các doanh nghiệp có thể sử dụng Q-scout của Quokka để kiểm duyệt các ứng dụng di động, giảm thiểu nguy cơ từ những ứng dụng cẩu thả hoặc độc hại trên điện thoại của nhân viên. Điều này giúp đảm bảo nhân viên không sử dụng những ứng dụng có thể làm tổn hại đến an ninh của công ty.

Q-scout hỗ trợ người dùng và đội ngũ IT xác định và xử lý nhiều loại rủi ro, bao gồm các ứng dụng độc hại và cẩu thả cố gắng truy cập các quyền không cần thiết.

Thông tin hãng cung cấp giải pháp:

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Sling, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks ….

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!