Nội dung chính

1. Tại sao "cấm AI" không phải giải pháp

Nhiều quản lý nghe về rủi ro của vibe coding rồi ra lệnh: "Team không được dùng AI để viết code."

Kết quả thực tế: Team vẫn dùng, nhưng làm lén và không báo cáo khi có vấn đề.

Theo khảo sát 2026, 94,3% lập trình viên Việt Nam đang dùng công cụ AI coding. Nếu bạn cấm, bạn đang chiến đấu với thực tế. Thay vào đó, hãy đặt ra khung quản trị rõ ràng: AI dùng được ở đâu, cần review gì trước khi ship.

2. Nguyên tắc cốt lõi: không phải tất cả code đều như nhau

Đây là insight quan trọng nhất mà nhiều doanh nghiệp bỏ qua:

Code giao diện và code xử lý thanh toán có mức độ rủi ro hoàn toàn khác nhau.

Nếu AI viết sai màu nút bấm → người dùng thấy xấu, không sập hệ thống.

Nếu AI viết sai logic kiểm tra quyền truy cập → khách hàng A xem được dữ liệu của khách hàng B.

Vì vậy, giải pháp không phải "cấm AI" hay "để AI làm tất cả" — mà là phân loại rõ từng loại code.

3. Khung 3 vùng rủi ro

Vùng Xanh — AI viết tự do, review nhanh

Đây là những việc AI làm tốt và rủi ro thấp:

• Giao diện, CSS, HTML template
• Tài liệu, comment code
• Boilerplate (cấu trúc lặp đi lặp lại)
• Test scaffolding (khung viết test)
• Script migration database (không có thay đổi dữ liệu)
• Code ghi log

Quy trình: AI viết → 1 người review nhanh → chạy test tự động → deploy

Vùng Vàng — AI viết nhưng bắt buộc review kỹ

Những việc AI có thể làm, nhưng cần ít nhất 2 người review:

• Logic nghiệp vụ (tính giá, xét duyệt đơn hàng, phân quyền người dùng)
• Tối ưu truy vấn database
• Thiết kế API endpoint
• Code xử lý lỗi
• Tính năng cache và đồng bộ dữ liệu

Quy trình: AI viết → review cặp (2 dev) → test coverage ≥80% → duyệt kiến trúc → deploy

Vùng Đỏ — Con người viết, AI chỉ gợi ý

Những tính năng này không được để AI tự quyết định:

• Đăng nhập, xác thực, phân quyền
• Xử lý thanh toán
• Mã hóa và giải mã dữ liệu
• Xóa dữ liệu người dùng
• Cấu hình bảo mật hệ thống
• Logic kiểm tra tuân thủ pháp lý

Quy trình: Lập trình viên senior viết → chuyên gia bảo mật review → kiểm thử xâm nhập nếu cần → deploy

AI có thể gợi ý và giải thích, nhưng con người phải hiểu và tự viết phần cuối cùng.

4. Checklist trước khi deploy code AI

Dán cái này lên tường phòng dev của bạn:

VÙNG XANH — trước khi deploy:
[ ] Chạy test tự động, pass hết
[ ] Không có API key hay mật khẩu nào hardcode trong code
[ ] Đã review sơ qua bởi 1 người

VÙNG VÀNG — thêm các bước:
[ ] Đã có 2 người review độc lập
[ ] Test coverage đạt ≥80%
[ ] Thay đổi database có thể rollback được

VÙNG ĐỎ — bắt buộc:
[ ] Được viết/kiểm tra bởi senior dev, KHÔNG phải AI
[ ] Có chuyên gia bảo mật review
[ ] Có plan rollback nếu lỗi
[ ] Audit log đã bật

5. Quy trình triển khai thực tế cho team Việt

Tuần 1-2: Phân loại codebase hiện tại

Ngồi lại với team, nhìn vào từng phần của ứng dụng và dán nhãn: xanh, vàng, hay đỏ. Đừng cần hoàn hảo ngay — làm thô trước, tinh chỉnh sau.

Tuần 3-4: Viết chính sách ngắn gọn

Không cần văn bản dài 20 trang. Một trang A4 với 3 danh sách là đủ: AI dùng được ở đâu, cần review gì, ai chịu trách nhiệm khi sự cố.

Tháng 2: Áp dụng và đo kết quả

Theo dõi: số lỗi trong production giảm không? Thời gian release có nhanh hơn không? Điều chỉnh chính sách dựa trên dữ liệu thực tế.

Điều này ảnh hưởng gì đến bạn?

Nếu bạn đang quản lý một team lập trình và chưa có quy trình AI coding rõ ràng:

Rủi ro thực tế ngay bây giờ:

• Lập trình viên đang paste code bảo mật vào AI công khai mà bạn không biết
• Code AI được ship lên production mà không ai review
• Khi có sự cố, không ai biết phần đó do AI hay người viết

Bắt đầu ngay với 1 bước đơn giản:

Họp team 30 phút. Đặt câu hỏi: "Phần nào trong app của mình mà nếu có lỗi thì nguy hiểm nhất?" Những phần đó là Vùng Đỏ. Cấm AI tự viết. Xong.

Không cần làm phức tạp. Làm từng bước nhỏ.

Ví dụ thực tế — phân loại cho app thương mại điện tử

Số liệu & thống kê

Sources