Cloudflare tuyên bố đã triển khai Matrix trên Cloudflare Workers, nhưng thực tế không phải vậy

 (tech.lgbt)
1 điểm bởi GN⁺ 2026-01-28 | 1 bình luận | Chia sẻ qua WhatsApp
  • Cloudflare công bố rằng họ đã triển khai giao thức Matrix trên Cloudflare Workers, nhưng trong mã nguồn lại thiếu các chức năng cốt lõi
  • Xuyên suốt mã có nhiều chú thích chưa hoàn thiện như TODO: Check authorisation, và quy trình xác minh chữ ký cùng xác thực đã bị bỏ sót
  • Không triển khai thuật toán giải quyết trạng thái mà chèn trực tiếp trạng thái mới nhất vào cơ sở dữ liệu, có thể dẫn tới lỗ hổng bảo mật và vấn đề tương thích
  • Sau khi đăng bài blog, phía Cloudflare đã chỉnh sửa bài viết và README, đồng thời thêm tuyên bố miễn trừ rằng ‘không dùng cho production’
  • Trong cộng đồng nhà phát triển, làn sóng chỉ trích về mã do AI tạo ra và các tuyên bố kỹ thuật sai lệch đang lan rộng, làm dấy lên nghi ngờ về độ tin cậy của Cloudflare

Tuyên bố triển khai Matrix của Cloudflare và việc kiểm chứng mã nguồn

  • Cloudflare đã công bố trên blog của mình rằng họ triển khai Matrix trên Cloudflare Workers, nhưng mã nguồn thực tế không thực hiện được các chức năng cốt lõi
    • Trong mã vẫn còn các chú thích chưa hoàn thiện như TODO: Validate PDU signature, TODO: Check authorization
    • Do không triển khai quy tắc xác thực của API liên máy chủ Matrix, nên ngay cả dữ liệu giả mạo cũng có thể được chấp nhận
  • Bỏ qua thuật toán giải quyết trạng thái (state resolution), vốn là cốt lõi của Matrix, và chỉ dùng cách đơn giản là chèn trạng thái mới nhất vào DB
    • Điều này có thể gây ra sự không nhất quán về trạng thái phòng (room), vấn đề tương tác liên thông, và lỗ hổng bảo mật

Tuyên bố kỹ thuật sai và lịch sử chỉnh sửa

  • Trong blog của Cloudflare có đoạn nói rằng Tuwunel và các tiền thân của nó đã sử dụng Postgres hoặc Redis, nhưng điều này không đúng sự thật
  • Sau đó bài viết được chỉnh sửa thành ‘Synapse’, và README cũng được bổ sung câu “nguyên mẫu ví dụ, không dành cho production”
    • Có thể xác nhận các chỉnh sửa này trong commit GitHub (fd412f41f98c0f3f360f5c4034443ef80680de49)
    • Bản chỉnh sửa cũng có thêm câu cho biết đã nhận được sự hỗ trợ từ Claude Code Opus 4.5

Phản ứng và chỉ trích từ cộng đồng

  • Trên Mastodon và Lobsters, các chỉ trích về mã do AI tạo ra và hoạt động quảng bá kỹ thuật sai lệch đang lan rộng
    • Có nhiều ý kiến như “đã loại bỏ xác minh chữ ký, hash và xác thực”, “đây không phải bảo mật mà chỉ ở mức ví dụ đơn giản”
  • Một số người dùng đánh giá phản ứng của Cloudflare là “nỗ lực che đậy”, đồng thời lần theo lịch sử xóa commit và force push
  • Trong cộng đồng cũng xuất hiện những phản ứng mang tính châm biếm
    • “Vì là kiến trúc serverless nên chi phí mở rộng về 0 (vì nó không tồn tại)”
    • “Cloudflare đạt được bảo mật hoàn hảo bằng cách hoàn toàn không gửi tin nhắn nào”

Phát biểu bổ sung của Jade và giới thiệu dự án

  • Jade giới thiệu Continuwuity, một homeserver Matrix viết bằng Rust mà họ đang phát triển
    • Có thể chạy cả trên Raspberry Pi và không phụ thuộc vào hạ tầng cloud tập trung
  • Dự kiến sẽ có bài trình bày tại FOSDEM 2026 về kinh nghiệm vá lỗ hổng Matrix
    • Đồng diễn giả là @nex@fedi.transgender.ing, và cũng sẽ tham gia tại gian hàng Matrix

Thảo luận tiếp theo và phản hồi kỹ thuật chi tiết

  • Nhiều nhà phát triển chỉ ra các lỗi logic trong mã của Cloudflare (ví dụ: dùng || thay vì ??), cách xử lý unknown error, và việc lạm dụng chú thích TODO
  • Một số người nói rằng commit chỉnh sửa của Cloudflare mang tính mỉa mai ở chỗ “Remove PII lại được để lại như một commit công khai”
  • Toàn bộ cộng đồng đang bày tỏ lo ngại về kiểu phát triển phụ thuộc vào AI và sự thiếu tin cậy về mặt kỹ thuật của Cloudflare

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-01-28
Ý kiến trên Hacker News

  • Blog kỹ thuật của các công ty hạ tầng vốn có hai mục tiêu: phô diễn chuyên mônxây dựng niềm tin
    Nhưng khi bắt đầu có những cách diễn đạt cường điệu, họ sẽ mất cả hai
    Không rõ câu “chúng tôi đã triển khai Matrix” là sự thật hay chỉ là thổi phồng tiếp thị, nhưng trên toàn ngành, ngày càng nhiều bài kiểu “chúng tôi đã làm X” thực chất chỉ ở mức “demo một phần của X”, khiến mọi người ngày càng mệt mỏi
    Giải pháp thì đơn giản — hãy viết rõ chính xác mình đã làm được gì. Chỉ cần viết như “đã dựng một nguyên mẫu homeserver Matrix có giới hạn trên Workers” thì cũng không làm mất đi sự tin cậy

    • Nói công bằng thì các bài viết kỹ thuật của Cloudflare nhìn chung thường có nội dung sâu sắc
    • Nhưng nếu viết trung thực như vậy thì ban điều hành sẽ nổi giận. Vì như thế chẳng khác nào thừa nhận rằng LLM vẫn chưa đạt đến mức mà các CEO đã hứa hẹn

  • Theo cách tôi hiểu, có vẻ ai đó đã dùng “vibe coding” để làm cả bài viết lẫn kho mã cùng lúc rồi đăng lên blog của Cloudflare mà không qua rà soát
    Tác giả có lẽ không phải kỹ sư, và dường như đã tin nguyên văn khi AI nói “cái này đã được kiểm thử ở mức production”
    Dấu hiệu mấu chốt là mã nằm trên GitHub cá nhân chứ không phải kho chính thức của Cloudflare. Cloudflare cần siết chặt quy trình rà soát cho truyền thông công khai trong tương lai

    • Nếu người này là nhân viên Cloudflare thì thật đáng lo không biết họ còn đang vibe coding những thứ gì khác. Không ai biết khi nào lại có thêm một “sơ suất” khiến nửa Internet ngừng hoạt động như trước đây
    • Tôi nghe nói CEO và CTO của Cloudflare tự mình duyệt mọi bài blog
    • Vấn đề không chỉ đơn giản là “có làm được hay không”, mà là cấu trúc khuyến khích trong tổ chức
      Nghe nói Cloudflare xem bài blog là một đầu ra quan trọng của mọi vị trí, kể cả kỹ sư. Trong cấu trúc như vậy, tốc độ rất dễ được ưu tiên hơn chất lượng
      Rốt cuộc, sau vụ này niềm tin sẽ giảm đi, quy trình rà soát sẽ tăng lên, và tốc độ đăng bài sẽ chậm lại. Đó là một quá trình tiến hóa tự nhiên khi tổ chức phát triển
      Nhưng điều đáng ngạc nhiên là họ vẫn chưa gỡ bài, thậm chí còn tạo thêm hỗn loạn bằng các lần chỉnh sửa

  • Tôi muốn Cloudflare đăng một bài phân tích nguyên nhân gốc rễ (RCA) về vụ này
    Chắc nó sẽ thú vị để đọc như một bản báo cáo sự cố
    Tôi muốn biết lần này quy trình rà soát nào đã thất bại, và họ sẽ khôi phục độ tin cậy của blog ra sao

  • Tôi đã tìm đoạn mã nguồn mà Jade nhắc đến, và có vẻ tác giả đã biết đến chủ đề này
    Liên kết commit liên quan

    • Trong commit mới, họ đã xóa cụm từ “production grade” khỏi README, ghi rõ rằng có sự hỗ trợ của AI, và cũng chỉnh lại căn lề của sơ đồ ASCII
      Liên kết commit
      Thành thật mà nói thì lẽ ra họ nên xóa cả blog lẫn kho mã đi
    • Nhưng commit đó hiện lại đã bị sửa thành “Clean up code comments”, làm mờ đi mục đích ban đầu
      Commit đã chỉnh sửa
    • Kiểu chỉnh sửa như vậy chỉ càng làm tình hình tệ hơn

  • Mới chỉ vài ngày kể từ khi tin giả cho rằng Cursor đã dùng GPT-5.2 để tạo cả trình duyệt web từ đầu bị bác bỏ, mà lại có thêm chuyện này
    Với những câu chuyện kiểu này, về cơ bản cần giữ thái độ hoài nghi từ đầu

    • Sau khi chính tôi viết bài về “thử nghiệm trình duyệt của Cursor”, tôi đã thử tự làm một trình duyệt chỉ với một agent duy nhất
      Bài Show HN
      Kết quả là tôi đã tạo được thứ có trình độ tương tự những gì Cursor làm bằng cách chạy hàng trăm agent suốt nhiều tuần, trong khoảng 20.000 dòng mã
      Liên kết kho mã
    • Vấn đề là cả blog lẫn kho mã của Cloudflare đều không hề nói rõ đây là “vibe coding”
      Chỉ cần nhìn kho matrix-workers cũng thấy sơ đồ ASCII lệch hàng là một dấu hiệu, nên thật ngạc nhiên là họ còn không thèm rà soát chuyện đó
    • Khó mà hiểu nổi việc họ đăng bài mà thậm chí còn không xác nhận xem tính năng có thực sự hoạt động hay không
    • Dạo này phần lớn những người gắn với “AI” trông như kẻ lừa đảo hoặc kẻ ba hoa. Tôi vẫn chưa thấy ngoại lệ nào
    • Rất nhiều người đã đầu tư quá mức vào “công nghệ” này, nên sẽ còn mất thời gian trước khi mọi người quay lại với đạo đức hacker là không mặc nhiên tin các tuyên bố doanh nghiệp đưa ra

  • Ở đầu bài blog gốc đã được thêm câu “đây rõ ràng là proof of concept”, nhưng ở cuối bài vẫn còn câu
    “đội ngũ của chúng tôi đang xử lý giao tiếp mã hóa thực tế bằng Matrix on Workers”
    Thật khó hiểu rốt cuộc cái nào mới là đúng

    • Câu “đội ngũ của chúng tôi đang dùng Matrix on Workers” rất khó tin. Kho mã nằm trên GitHub cá nhân và phần triển khai cũng chưa hoàn chỉnh
    • Đến 11:45 thì bài lại được sửa, giờ thành “chúng tôi đang thử nghiệm triển khai này và hoan nghênh những người muốn đóng góp”
      Phiên bản lưu trữ
    • Nếu họ thực sự đang dùng nó nội bộ như vậy, thì thật đáng ngạc nhiên vì điều đó đồng nghĩa họ đang chạy mã chưa hoàn chỉnh và đầy rủi ro trong mạng nội bộ

  • Việc một nhà cung cấp lớn tung ra mã thực tế không hoạt động rồi cố bán sản phẩm là điều đáng lo ngại
    Khi họ làm cho những công việc kỹ thuật phức tạp trông có vẻ dễ dàng, sẽ càng khó giải thích rằng để làm phần mềm an toàn thì cần thời gian
    Những hành vi như vậy làm xói mòn niềm tin vào nền tảng

    • Vấn đề là cả ngành này đã cạnh tranh kiểu “chạm đáy” quá lâu rồi
      AI coding chỉ lợi dụng ảo tưởng đơn giản hóa đó, và rốt cuộc chính cấu trúc thị trường tham lam mới tạo ra những chuyện thế này

  • Cloudflare vẫn đang tiếp tục chỉnh sửa bài gốc, nên nếu muốn xem bản ban đầu thì liên kết lưu trữ này sẽ hữu ích

    • Sau khi ai đó trích dẫn bài trên Mastodon với emoji 🤮, họ đã l quietly xóa cấu trúc câu mang đậm kiểu hành văn của LLM là “not just X; Y” khỏi blog

  • Chuyện lần này là một vụ mất mặt với cả Cloudflare lẫn tác giả
    Thật khó tin là bài viết lại được đăng mà không qua rà soát
    Gần đây Cloudflare liên tiếp mắc lỗi, nên có cảm giác họ đã qua thời kỳ đỉnh cao và đang trong xu hướng đi xuống dần

    • Người ta sẽ tự hỏi “sao dạo này Cloudflare thất bại nhiều thế”. Có lẽ là vì trào lưu công nghệ mới gần đây chăng

  • Việc tài khoản đăng blog lên Hacker News là một tài khoản tạm (throwaway) cho thấy chính tác giả cũng không tự tin vào đoạn mã và các tuyên bố của mình
    Liên kết HN

    • Hơn nữa, người đó còn tự bình luận dưới bài của mình, giả vờ như đang đặt câu hỏi