Đợt này anh em đang rần rần cái trend "vibe coding" – cứ gõ prompt mượt mượt là AI tự đẻ ra code. Cơ mà đời không như mơ các ông ạ. Mới đây có một thanh niên "báo thủ" đã dâng hiến cả Stripe API key cho thiên hạ chỉ vì tin tưởng tuyệt đối vào pháp sư Claude.
Chuyện là có một thanh niên (chắc tay ngang hoặc lười quá mức quy định) quyết định dùng Claude để đắp UI/UX và logic cho website. Chuyện sẽ chẳng có gì đáng nói nếu cách anh ta xử lý bảo mật không "đi vào lòng đất".
Thay vì tự config biến môi trường (environment variables) hay check code tử tế, lão ném cho con AI mấy cái prompt sặc mùi ra lệnh suông: "Nhớ đảm bảo API key của tao không nằm trên front-end nha mậy" và chốt hạ bằng câu thần chú "Hãy đảm bảo mọi biện pháp bảo mật được thực thi".
Kết quả? Claude báo "Vâng thưa sếp" rất dõng dạc, nhưng code gen ra thì chềnh ềnh cái Stripe API key (loại secret) ngay trên client-side. Toang mẹ nó luôn!
Hậu quả là web vừa lên sóng đã bị bot cào trúng. Bọn hacker lấy key đó làm công cụ test thẻ tín dụng chùa (card testing). Tài khoản Stripe của thanh niên bị charge phí sấp mặt.
Nhưng phần ảo ma nhất chưa dừng ở đó. Thay vì im ỉm đi fix bug, cha nội này lại tự hào viết một bài dài ngoằng trên LinkedIn để kể về hành trình "khởi nghiệp" của mình. Đọc văn thì thấy lão éo hề quan tâm đến chuyện user bị lộ thông tin hay rủi ro bảo mật, lão chỉ xót cái đống tiền phí Stripe bị trừ.
Và bài học lớn nhất lão rút ra sau cú vấp ngã này là gì? "Giá như mình viết cái prompt xịn hơn một tí". Lạy hồn!
Khỏi phải nói, anh em dev trên Reddit đọc xong bài này xúm vào combat nhiệt tình.
Đầu tiên là hội bật cười bất lực. Chê trách cái prompt "Make it secure bro". Nhiều ông mỉa mai: "Mày nói thế thì con Claude nó sáng mắt ra ngay, bảo mật tuyệt đối luôn chứ lị". AI nó rập khuôn chứ có phải thầy bói đâu mà hiểu thấu hồng trần.
Thứ hai là luồng châm biếm cực mạnh. Một pháp sư cmt: "Tôi thì luôn nghĩ tốt nhất là cứ vứt mẹ API key ra public... lỡ mình có quên thì cộng đồng mạng tìm lại hộ cho lẹ". Nghe đắng lòng nhưng hợp lý vãi.
Cuối cùng là sự bức xúc thực sự. Đa số anh em đều ngã ngửa vì mức độ vô lo của "tác giả". Một ông thẳng thắn: "Éo thể tin nổi đây là thật. Nếu mày đã cẩu thả đến mức đấy, thì vác lên LinkedIn kể lể cho tụi HR với đối tác nghe làm cái quái gì?". Có người vào check tận nơi thì thấy lão đang cãi chày cãi cối bảo vệ quan điểm dưới comment LinkedIn cơ. Đúng là hết cứu.
Nói đi cũng phải nói lại, AI bây giờ nó đỉnh, code mượt, debug nhanh. Nhưng các ông phải nhớ, nó chỉ là một thằng thực tập sinh code nhanh (và thi thoảng ngáo đá), không phải là Senior Tech Lead gánh team.
"Vibe coding" lúc làm pet project thì vui, nhưng lúc ném lên production có dính tới tiền bạc thì làm ơn cất cái "vibe" đi mà bật não lên. Bảo mật không bao giờ là một câu lệnh prompt "Make it secure". Nó là architecture, là CORS, là rate limiting, và quy tắc sống còn: Không bao giờ tin tưởng client-side.
Đừng để đến lúc sập server, tiền mất tật mang rồi lại lên mạng than thở tại con AI nó ngu. Nó ngu một, mình copy-paste không nhìn thì mình ngu mười.
Thế nhé, anh em nào đang code bằng mồm thì check lại file .env ngay đi, kẻo tối nay ngủ một giấc sáng mai dậy thành chúa tể nợ nần.
Drama thanh niên dùng Claude code web bằng hệ tâm linh, lộ sạch Stripe API key rồi vác lên LinkedIn khoe. Anh em dev được mẻ cười ra nước mắt.
