Có người đã thấy một trường hợp chỉ đơn giản là dán câu trả lời của badger vào Chat rồi gửi lại lên issue một câu trả lời trông quá rõ là do AI viết. Họ gửi nguyên văn kiểu như: "Cảm ơn vì đã rà soát nhanh. Đúng là PoC của tôi không dùng libcurl nên không thể chứng minh lỗi cURL. Tôi rút lại khẳng định về tràn bộ nhớ cookie và xin lỗi vì đã gây nhầm lẫn. Xin hãy đóng báo cáo này là không hợp lệ. Nếu hữu ích, tôi sẽ gửi riêng một mã tái hiện C tối thiểu thực sự kích hoạt bộ phân tích cookie của libcurl, và tham chiếu chính xác hàm/dòng trong lib/cookie.c để chỉ ra vấn đề nếu có."
Thật đáng tiếc khi kiểu hành vi sao chép-dán đơn giản như thế này giờ đã trở thành chuyện quá đỗi phổ biến
Có vẻ một số người trong giới công nghệ cố tình hành xử như vậy để khoe rằng họ đã dùng AI và "AI này đã tạo PR đóng góp cho một dự án mã nguồn mở nổi tiếng". Tức là hiện giờ họ đang đẩy phần việc do AI làm sang cho các tình nguyện viên OSS, tiêu tốn thời gian của người bảo trì mã nguồn mở mà thậm chí còn không kiểm tra xem nó có thực sự hoạt động hay không
Tôi tự hỏi liệu ngay từ đầu có phải mọi thứ đều được làm chỉ bằng AI mà không có sự can thiệp của con người không. Tôi lo rồi CVS sẽ đầy những agent tạo tài khoản và AI cứ thế đăng các 'lỗi' lên
Nhìn vào những câu như "cảm ơn", "đúng vậy", ngữ pháp hoàn hảo, cùng phần kỹ thuật được nhồi nhét dày đặc, tôi còn thấy ngay cả câu trả lời này cũng có vẻ là do AI viết
Bây giờ việc chúng ta có thể nhận ra mấy câu trả lời AI này khá nhanh chẳng phải có nghĩa là AI về cơ bản đang trượt bài kiểm tra Turing sao?
"Tôi nghe đồn là anh tính toán cực nhanh"
Tôi: "Vâng, đúng vậy"
Người phỏng vấn: "14 x 27 bằng bao nhiêu?"
Tôi: "49"
Người phỏng vấn: "Sai hoàn toàn"
Tôi: "Nhưng nhanh mà"
Tôi muốn có một ngôn ngữ biên dịch "gần như-đúng-hạn (AIJIT)". Nếu không đủ thời gian thì cứ trả về một câu trả lời ngẫu nhiên là được
function getRandomNumber() {
return 4
}
Kiểu mã như thế này mới đúng là một ví dụ trả về số ngẫu nhiên thật sự
Khi tôi từng chạy load test, những phản hồi có độ trễ thấp nhất lại là lúc có điều gì đó sai trong request
Cảm giác giống như video "Is this your card?": "Đây có phải lá bài của bạn không?" "Không, nhưng cũng khá gần đấy! Đúng người bạn đang tìm rồi"
Tôi tự hỏi rốt cuộc điểm cân bằng giữa "cá nhân tôi tiết kiệm được bao nhiêu thời gian" và "tôi khiến mọi người khác lãng phí bao nhiêu thời gian" đang nằm ở đâu trong cuộc 'cách mạng' công nghệ này
Tôi cũng từng thấy sự hỗ trợ của AI cực kỳ hữu ích nhiều lần (Claude Code, Gemini Deep Research, v.v.). Nhưng nhất định phải có con người chen vào ở giữa, và ngay cả trong môi trường công ty nơi mọi người đều có thể chịu trách nhiệm thì vấn đề này vẫn xảy ra. Nếu dùng AI thì cuối cùng trách nhiệm khi gửi PR hay báo cáo HackerOne phải hoàn toàn do con người gánh. Theo những gì tôi thấy, đặc biệt là các lập trình viên junior rất hay copy-paste nguyên xi câu trả lời của AI rồi gửi đi, và với tư cách senior tôi nghĩ mình phải ngăn hành vi đó một cách quyết liệt. Nhờ AI hỗ trợ thì được, nhưng kiểm chứng cuối cùng và trách nhiệm phải là của con người
Thực ra nếu lấy câu trả lời do AI của người khác viết rồi đưa vào công cụ AI của mình để nó tạo tiếp câu trả lời khác, thì đó là mô hình tuần hoàn tự động "chuyển đổi năng lượng-thành-tiền" hoàn hảo. Không ai thực sự tốn thời gian, chỉ có năng lượng bị lãng phí. Đúng là một mô hình kinh doanh hoàn hảo
Thật ra chuyện này không chỉ có ở công cụ AI mà còn rất thường thấy ở các công cụ xử lý chi phí mới (tốt cho kế toán nhưng trải nghiệm dùng thì tệ), quy trình rà soát hợp đồng (tốt cho pháp chế hay infosec nhưng lại phiền hà trong SaaS mà ai cũng phải dùng), v.v. Lúc nào cũng có người muốn tiết kiệm thời gian của mình bằng cách đẩy việc sang cho người khác
Nếu làm người khác lãng phí thời gian thì rốt cuộc vẫn phải có ai đó đi hiểu đống lời nhảm do AI tạo ra, nên cũng có tác dụng giữ việc làm
Nếu cuối cùng họ không tìm được lỗ hổng thật nào mà chỉ làm người khác mất thời gian, thì khoảng thời gian họ "tiết kiệm" được thực ra không hề tồn tại
Những câu như "Cảm ơn sự tham gia của quý vị, và tôi muốn làm rõ tình hình" khiến tôi thật sự cạn lời, vì nó đối xử với chính sự can thiệp của con người như thể một 'điều kiện thí nghiệm'
Thái độ như vậy thực sự là rất bất lịch sự
Tôi nghĩ ai đó nên làm một trang kiểu base.org chỉ để sưu tập các câu trích dẫn AI
Nhìn cảnh các lập trình viên hay quản trị viên thiện chí, tận tâm phản hồi trong những tình huống như thế này lại càng thấy hụt hẫng vô cùng
Năm 2023 có vẻ còn khó phân biệt lời nhảm do AI viết hơn. Tôi thậm chí còn không nhớ nó bắt đầu tràn lan từ lúc nào
Theo thời gian tôi đã có thể nhanh chóng nhận ra nội dung do AI tạo ra, nhất là ảnh, văn bản và mã. Bài này từ đầu tới cuối đúng chất 'phong cách AI'. Có vẻ badger đã xử lý rất chuyên nghiệp, và tôi tự hỏi nếu là Linus Torvalds thì phản ứng sẽ ra sao
Vụ này quá rõ nên nhận ra ngay được, nhưng nghĩ đến chuyện về sau nó sẽ ngày càng tinh vi hơn thì thật rợn người
Nhìn từ góc khác thì đôi khi có người khẳng định cái gì đó là AI ngay cả khi nó rõ ràng không phải. Tôi thấy đó giống một cơ chế tự vệ của cái tôi, nhằm né tránh việc phải đối diện với thông tin mới hay thực tế không phù hợp với nhận thức hoặc cách nghĩ của họ. Ví dụ gần đây có video từ cửa sổ Nhà Trắng cho thấy hai túi màu đen bị ném ra ngoài, và Trump ngay lúc xem đã lập tức gạt đi là "AI chỉnh sửa". Bất kể nó thật hay giả, đây có vẻ là một kiểu mới: cứ vô cớ đổ cho AI và biến nó thành công cụ để nói dối. Thay vì phản ứng tức thì kiểu "cái này là AI", tôi nghĩ nói "để tôi xem lại" rồi tiếp tục sẽ có ích hơn. Cuối cùng, bầu không khí cứ đổ lỗi cho AI trong những việc vô can sẽ dần tẩy não công chúng, khiến người ta phủ nhận cả những vấn đề thật sự quan trọng bằng cách khăng khăng rằng đó là sản phẩm AI. Giống như trong tiểu thuyết 1984, chiến tranh không hề kết thúc nhưng đôi khi lại biến mất, đồng thời bị tô vẽ như thể không tồn tại. Truyền thông thật/giả do AI tạo ra và sự kích động dư luận xoay quanh nó có lẽ sẽ còn nghiêm trọng hơn nữa trong tương lai
Có lẽ thái độ kiểu "chỉ vì tôi biết AI nên tôi thông minh hơn các lập trình viên trilobite ngày xưa" sẽ còn gây ra nhiều vấn đề hơn nữa. Vì vậy tôi nghĩ việc trường tiểu học ban đầu không cho dùng máy tính cầm tay là có lý do cả
Nó y hệt tâm thế kiểu "tôi biết React, nên tôi thông minh hơn các coder trước thời bùng nổ web app"
Tôi nghĩ nên thu phí người dùng khi nộp báo cáo lỗ hổng. Dù là AI hay con người thì đám spammer vẫn có thể sản xuất hàng loạt công việc của mình với chi phí rất rẻ rồi giao cho người khác xác minh, thỉnh thoảng lại có kết quả đáng kể nên trông có vẻ như mang lại lợi ích xã hội tích cực. Nhưng xét tổng thể thì lại là âm cho xã hội. Mô hình này sẽ buộc phải biến mất nếu việc nộp báo cáo có chi phí
Tôi nghĩ làm vậy lại là một cách điển hình để ngăn người ta gửi báo cáo
Tôi cho rằng nếu thu một khoản ký quỹ nhỏ khi báo cáo thì sẽ hoạt động tốt. Nếu thực sự tìm ra một lỗi cURL nghiêm trọng, tôi sẵn sàng đặt cọc khoảng $2~5 để báo cáo (nhất là khi khả năng cuối cùng nhận thưởng cũng cao)
Giáo viên hiện đã phải đối mặt hằng ngày với tình trạng học sinh dùng AI trong gần như mọi môn học. Tình huống này hoàn toàn giống như vậy
Vậy chẳng phải cứ xử lý như cách giáo viên từ xưa đến nay vẫn xử lý học sinh vi phạm quy định là được sao?
Tôi nghe nói "người báo cáo đã bị ban và có vẻ còn xóa luôn tài khoản". Tôi lo đây có thể là một cuộc tấn công phishing kiểu thử nghiệm phòng thủ, tương tự vụ hack XZ utils, nhằm kiểm tra lỗ hổng trong hệ thống bảo vệ. cURL cũng là một tiện ích quan trọng mà. Nó cũng có thể là cách thử mức cảnh giác, tốc độ phản ứng và khối lượng công việc của cả đội, giống spam 419. Cuối cùng thì đây là một phần của vấn đề DDoS do AI tạo ra, và tôi nghĩ cần những cách xác minh PR mới, chẳng hạn xác thực bằng mạng lưới danh tiếng dựa trên Nostr
Gần đây tôi cũng thấy khá nhiều trên Reddit (các subreddit cỡ trung) những tài khoản mới toanh đăng bài hỏi như được chắp vá từ các mảnh của bài cũ. Chủ đề thì đúng là có liên quan, nhưng không phải kiểu mà con người sẽ đăng, lại còn khéo cài thêm yếu tố drama đời thường để câu phản ứng. Những tài khoản đó gần như luôn không trả lời bình luận, hoặc nếu có thì cũng lộ rõ là AI. Vì lý do này mà vài tháng qua tôi đã hủy theo dõi ít nhất hơn 6 nơi
Gần đây tôi đã bỏ ra 15 phút để test một bản vá nói là sửa lỗi UI Linux, nhưng thực tế chỉ là một câu trả lời điền vào mấy thuộc tính giả vớ vẩn. Họ đơn giản là ném issue GitHub vào ChatGPT rồi nộp kết quả ngay lập tức mà không hề kiểm chứng. Tôi thật sự không hiểu tại sao lại làm thế
Rốt cuộc kiểu việc này chỉ là để tạo thành tích kiểu "tôi đã đóng góp cho các dự án X, Y, Z". Ngay cả trước khi có LLM, cũng đã có rất nhiều đóng góp vô nghĩa kiểu PR sửa lỗi chính tả chẳng giúp ích mấy
Vì lý do này mà ngay từ đầu tôi loại người dùng AI khỏi đối tượng tương tác. Tôi phải tốn thời gian gấp hàng chục lần để rà soát những kết quả sai lệch mang tính ảo giác mà họ tạo ra, nên chẳng có lý do gì để nói chuyện với máy tính cả
Cuối cùng thì ở đâu đó lúc nào cũng chỉ là có người đang cố kiếm một con thuyền lớn hơn mà thôi
1 bình luận
Ý kiến trên Hacker News
Có người đã thấy một trường hợp chỉ đơn giản là dán câu trả lời của badger vào Chat rồi gửi lại lên issue một câu trả lời trông quá rõ là do AI viết. Họ gửi nguyên văn kiểu như: "Cảm ơn vì đã rà soát nhanh. Đúng là PoC của tôi không dùng libcurl nên không thể chứng minh lỗi cURL. Tôi rút lại khẳng định về tràn bộ nhớ cookie và xin lỗi vì đã gây nhầm lẫn. Xin hãy đóng báo cáo này là không hợp lệ. Nếu hữu ích, tôi sẽ gửi riêng một mã tái hiện C tối thiểu thực sự kích hoạt bộ phân tích cookie của libcurl, và tham chiếu chính xác hàm/dòng trong lib/cookie.c để chỉ ra vấn đề nếu có."
Thật đáng tiếc khi kiểu hành vi sao chép-dán đơn giản như thế này giờ đã trở thành chuyện quá đỗi phổ biến
Có vẻ một số người trong giới công nghệ cố tình hành xử như vậy để khoe rằng họ đã dùng AI và "AI này đã tạo PR đóng góp cho một dự án mã nguồn mở nổi tiếng". Tức là hiện giờ họ đang đẩy phần việc do AI làm sang cho các tình nguyện viên OSS, tiêu tốn thời gian của người bảo trì mã nguồn mở mà thậm chí còn không kiểm tra xem nó có thực sự hoạt động hay không
Tôi tự hỏi liệu ngay từ đầu có phải mọi thứ đều được làm chỉ bằng AI mà không có sự can thiệp của con người không. Tôi lo rồi CVS sẽ đầy những agent tạo tài khoản và AI cứ thế đăng các 'lỗi' lên
Nhìn vào những câu như "cảm ơn", "đúng vậy", ngữ pháp hoàn hảo, cùng phần kỹ thuật được nhồi nhét dày đặc, tôi còn thấy ngay cả câu trả lời này cũng có vẻ là do AI viết
Bây giờ việc chúng ta có thể nhận ra mấy câu trả lời AI này khá nhanh chẳng phải có nghĩa là AI về cơ bản đang trượt bài kiểm tra Turing sao?
"Tôi nghe đồn là anh tính toán cực nhanh" Tôi: "Vâng, đúng vậy" Người phỏng vấn: "14 x 27 bằng bao nhiêu?" Tôi: "49" Người phỏng vấn: "Sai hoàn toàn" Tôi: "Nhưng nhanh mà"
Tôi muốn có một ngôn ngữ biên dịch "gần như-đúng-hạn (AIJIT)". Nếu không đủ thời gian thì cứ trả về một câu trả lời ngẫu nhiên là được
Kiểu mã như thế này mới đúng là một ví dụ trả về số ngẫu nhiên thật sự
Khi tôi từng chạy load test, những phản hồi có độ trễ thấp nhất lại là lúc có điều gì đó sai trong request
Cảm giác giống như video "Is this your card?": "Đây có phải lá bài của bạn không?" "Không, nhưng cũng khá gần đấy! Đúng người bạn đang tìm rồi"
Tôi tự hỏi rốt cuộc điểm cân bằng giữa "cá nhân tôi tiết kiệm được bao nhiêu thời gian" và "tôi khiến mọi người khác lãng phí bao nhiêu thời gian" đang nằm ở đâu trong cuộc 'cách mạng' công nghệ này
Tôi cũng từng thấy sự hỗ trợ của AI cực kỳ hữu ích nhiều lần (Claude Code, Gemini Deep Research, v.v.). Nhưng nhất định phải có con người chen vào ở giữa, và ngay cả trong môi trường công ty nơi mọi người đều có thể chịu trách nhiệm thì vấn đề này vẫn xảy ra. Nếu dùng AI thì cuối cùng trách nhiệm khi gửi PR hay báo cáo HackerOne phải hoàn toàn do con người gánh. Theo những gì tôi thấy, đặc biệt là các lập trình viên junior rất hay copy-paste nguyên xi câu trả lời của AI rồi gửi đi, và với tư cách senior tôi nghĩ mình phải ngăn hành vi đó một cách quyết liệt. Nhờ AI hỗ trợ thì được, nhưng kiểm chứng cuối cùng và trách nhiệm phải là của con người
Thực ra nếu lấy câu trả lời do AI của người khác viết rồi đưa vào công cụ AI của mình để nó tạo tiếp câu trả lời khác, thì đó là mô hình tuần hoàn tự động "chuyển đổi năng lượng-thành-tiền" hoàn hảo. Không ai thực sự tốn thời gian, chỉ có năng lượng bị lãng phí. Đúng là một mô hình kinh doanh hoàn hảo
Thật ra chuyện này không chỉ có ở công cụ AI mà còn rất thường thấy ở các công cụ xử lý chi phí mới (tốt cho kế toán nhưng trải nghiệm dùng thì tệ), quy trình rà soát hợp đồng (tốt cho pháp chế hay infosec nhưng lại phiền hà trong SaaS mà ai cũng phải dùng), v.v. Lúc nào cũng có người muốn tiết kiệm thời gian của mình bằng cách đẩy việc sang cho người khác
Nếu làm người khác lãng phí thời gian thì rốt cuộc vẫn phải có ai đó đi hiểu đống lời nhảm do AI tạo ra, nên cũng có tác dụng giữ việc làm
Nếu cuối cùng họ không tìm được lỗ hổng thật nào mà chỉ làm người khác mất thời gian, thì khoảng thời gian họ "tiết kiệm" được thực ra không hề tồn tại
Có một ví dụ còn tệ hơn nhiều
https://hackerone.com/reports/2298307
Những câu như "Cảm ơn sự tham gia của quý vị, và tôi muốn làm rõ tình hình" khiến tôi thật sự cạn lời, vì nó đối xử với chính sự can thiệp của con người như thể một 'điều kiện thí nghiệm'
Thái độ như vậy thực sự là rất bất lịch sự
Tôi nghĩ ai đó nên làm một trang kiểu base.org chỉ để sưu tập các câu trích dẫn AI
Nhìn cảnh các lập trình viên hay quản trị viên thiện chí, tận tâm phản hồi trong những tình huống như thế này lại càng thấy hụt hẫng vô cùng
Năm 2023 có vẻ còn khó phân biệt lời nhảm do AI viết hơn. Tôi thậm chí còn không nhớ nó bắt đầu tràn lan từ lúc nào
Theo thời gian tôi đã có thể nhanh chóng nhận ra nội dung do AI tạo ra, nhất là ảnh, văn bản và mã. Bài này từ đầu tới cuối đúng chất 'phong cách AI'. Có vẻ badger đã xử lý rất chuyên nghiệp, và tôi tự hỏi nếu là Linus Torvalds thì phản ứng sẽ ra sao
Vụ này quá rõ nên nhận ra ngay được, nhưng nghĩ đến chuyện về sau nó sẽ ngày càng tinh vi hơn thì thật rợn người
Nhìn từ góc khác thì đôi khi có người khẳng định cái gì đó là AI ngay cả khi nó rõ ràng không phải. Tôi thấy đó giống một cơ chế tự vệ của cái tôi, nhằm né tránh việc phải đối diện với thông tin mới hay thực tế không phù hợp với nhận thức hoặc cách nghĩ của họ. Ví dụ gần đây có video từ cửa sổ Nhà Trắng cho thấy hai túi màu đen bị ném ra ngoài, và Trump ngay lúc xem đã lập tức gạt đi là "AI chỉnh sửa". Bất kể nó thật hay giả, đây có vẻ là một kiểu mới: cứ vô cớ đổ cho AI và biến nó thành công cụ để nói dối. Thay vì phản ứng tức thì kiểu "cái này là AI", tôi nghĩ nói "để tôi xem lại" rồi tiếp tục sẽ có ích hơn. Cuối cùng, bầu không khí cứ đổ lỗi cho AI trong những việc vô can sẽ dần tẩy não công chúng, khiến người ta phủ nhận cả những vấn đề thật sự quan trọng bằng cách khăng khăng rằng đó là sản phẩm AI. Giống như trong tiểu thuyết 1984, chiến tranh không hề kết thúc nhưng đôi khi lại biến mất, đồng thời bị tô vẽ như thể không tồn tại. Truyền thông thật/giả do AI tạo ra và sự kích động dư luận xoay quanh nó có lẽ sẽ còn nghiêm trọng hơn nữa trong tương lai
Có lẽ thái độ kiểu "chỉ vì tôi biết AI nên tôi thông minh hơn các lập trình viên trilobite ngày xưa" sẽ còn gây ra nhiều vấn đề hơn nữa. Vì vậy tôi nghĩ việc trường tiểu học ban đầu không cho dùng máy tính cầm tay là có lý do cả
Tôi nghĩ nên thu phí người dùng khi nộp báo cáo lỗ hổng. Dù là AI hay con người thì đám spammer vẫn có thể sản xuất hàng loạt công việc của mình với chi phí rất rẻ rồi giao cho người khác xác minh, thỉnh thoảng lại có kết quả đáng kể nên trông có vẻ như mang lại lợi ích xã hội tích cực. Nhưng xét tổng thể thì lại là âm cho xã hội. Mô hình này sẽ buộc phải biến mất nếu việc nộp báo cáo có chi phí
Tôi nghĩ làm vậy lại là một cách điển hình để ngăn người ta gửi báo cáo
Tôi cho rằng nếu thu một khoản ký quỹ nhỏ khi báo cáo thì sẽ hoạt động tốt. Nếu thực sự tìm ra một lỗi cURL nghiêm trọng, tôi sẵn sàng đặt cọc khoảng $2~5 để báo cáo (nhất là khi khả năng cuối cùng nhận thưởng cũng cao)
Giáo viên hiện đã phải đối mặt hằng ngày với tình trạng học sinh dùng AI trong gần như mọi môn học. Tình huống này hoàn toàn giống như vậy
Tôi nghe nói "người báo cáo đã bị ban và có vẻ còn xóa luôn tài khoản". Tôi lo đây có thể là một cuộc tấn công phishing kiểu thử nghiệm phòng thủ, tương tự vụ hack XZ utils, nhằm kiểm tra lỗ hổng trong hệ thống bảo vệ. cURL cũng là một tiện ích quan trọng mà. Nó cũng có thể là cách thử mức cảnh giác, tốc độ phản ứng và khối lượng công việc của cả đội, giống spam 419. Cuối cùng thì đây là một phần của vấn đề DDoS do AI tạo ra, và tôi nghĩ cần những cách xác minh PR mới, chẳng hạn xác thực bằng mạng lưới danh tiếng dựa trên Nostr
Gần đây tôi đã bỏ ra 15 phút để test một bản vá nói là sửa lỗi UI Linux, nhưng thực tế chỉ là một câu trả lời điền vào mấy thuộc tính giả vớ vẩn. Họ đơn giản là ném issue GitHub vào ChatGPT rồi nộp kết quả ngay lập tức mà không hề kiểm chứng. Tôi thật sự không hiểu tại sao lại làm thế
Rốt cuộc kiểu việc này chỉ là để tạo thành tích kiểu "tôi đã đóng góp cho các dự án X, Y, Z". Ngay cả trước khi có LLM, cũng đã có rất nhiều đóng góp vô nghĩa kiểu PR sửa lỗi chính tả chẳng giúp ích mấy
Vì lý do này mà ngay từ đầu tôi loại người dùng AI khỏi đối tượng tương tác. Tôi phải tốn thời gian gấp hàng chục lần để rà soát những kết quả sai lệch mang tính ảo giác mà họ tạo ra, nên chẳng có lý do gì để nói chuyện với máy tính cả
Cuối cùng thì ở đâu đó lúc nào cũng chỉ là có người đang cố kiếm một con thuyền lớn hơn mà thôi