Ảo tưởng về mã LLM hoàn hảo

Ngày 31/5/2026 Gần đây, tôi đã thử nghiệm một số mô hình ngôn ngữ lớn (LLM) khác nhau bằng cách giao nhiệm vụ triển khai một tính năng xác thực đơn giản cho một ứng dụng web. Rõ ràng là hầu hết các LLM hiện đại đều rất xuất sắc trong việc tuân thủ một bản thiết kế có cấu trúc. Tuy nhiên, sự khác biệt thực sự xuất hiện khi xem xét sâu hơn về tính bảo mật của mã được tạo ra. Trong thử nghiệm của tôi, tôi đã so sánh Opus 4.8, Gemini 3.5 Flash, Sonnet 4.6, Kimi 2.6 và DeepSeek V4 Flash. Mục tiêu của tôi là xem các LLM này xử lý các tác vụ mã hóa thực tế, kế hoạch thực thi và kiểm tra bảo mật tốt đến mức nào. Khi tôi cung cấp cho chúng một tệp hướng dẫn cụ thể, như PLAN.md, tất cả đều hoạt động rất tốt. Dù là một mô hình hàng đầu, đắt tiền như Opus hay một lựa chọn cực kỳ phải chăng như DeepSeek, các LLM này đều có thể dễ dàng tuân theo các hướng dẫn từng bước và tạo ra mã hoạt động. Tuy nhiên, khi nói đến bảo mật (bao gồm khả năng tự đánh giá công việc của chính các mô hình), mọi thứ bắt đầu có sự khác biệt. Các mô hình cao cấp, tiên tiến như Opus và Gemini đã thể hiện sức mạnh lớn trong việc thực hiện kiểm tra bảo mật và phát hiện các lỗi tiềm ẩn. Mặt khác, các mô hình khác lại rất thất thường. Điều này tạo ra một mối nguy hiểm tiềm ẩn nghiêm trọng đối với những người mà hiện nay được gọi là "vibe coder". Một "vibe coder" là người tin tưởng hoàn toàn vào LLM, viết mã chỉ bằng cách đánh giá cảm giác chung hoặc luồng của dự án. Nếu ứng dụng chạy tốt trên màn hình và các tính năng hoạt động, "vibe coder" cho rằng mọi thứ đều hoàn hảo. Họ cảm thấy thành công đơn giản vì LLM đã tuân thủ PLAN.md một cách hoàn hảo. Nhưng đây là một ảo ảnh. Chỉ vì một phần mềm hoạt động bên ngoài không có nghĩa là nó an toàn bên trong. Khi một LLM thất bại trong quá trình tự kiểm tra bảo mật nội bộ của chính nó, nó có thể dễ dàng đưa các lỗ hổng nguy hiểm vào ứng dụng của bạn. Nếu bạn hoàn toàn dựa vào cảm giác mà không tự mình xem xét mã, bạn đang vô tình đặt toàn bộ hệ thống của mình vào rủi ro. Chúng ta không thể luôn dựa vào các điểm chuẩn công khai để đánh giá một LLM. Hiệu quả, tốc độ và chi phí thấp là những điều tuyệt vời, nhưng chúng không nên đánh đổi bằng sự an toàn. Với tư cách là nhà phát triển, chúng ta phải luôn chủ động. Cách tiếp cận tốt nhất để đánh giá các mô hình này là tạo ra một thử nghiệm thực sự đại diện của riêng bạn và luôn kiểm tra kỹ lưỡng tính bảo mật của mã trước khi đưa vào hoạt động. Có lẽ trong tương lai, các mô hình sẽ đủ tiên tiến để thực hiện các cuộc tự kiểm tra tốt hơn nhiều. Các công cụ mã hóa cũng có thể sẽ được cải thiện theo thời gian. Cho đến lúc đó, việc triển khai mã do LLM tạo ra vào sản xuất một cách mù quáng là hoàn toàn vô trách nhiệm.