“Thuật toán đã quyết định rồi”: Trong thời đại code bằng AI, vì sao ứng dụng tạo doanh thu do tôi làm có thể đột ngột bị đình chỉ

TL;DR

• Cấu trúc kiểm duyệt tự động của YouTube cũng có thể ảnh hưởng đến các nhà phát triển ứng dụng AI

• Đặc biệt, nếu kiếm tiền bằng app hoặc SaaS thì rủi ro bị nền tảng kiểm duyệt sẽ lớn hơn

• Điều cốt lõi không phải là “AI có thể viết code hay không”

• mà là ai đã hiểu, đã rà soát và chịu trách nhiệm triển khai

• Các số liệu chính

  • METR: khi dùng công cụ AI, thời gian hoàn thành công việc của các lập trình viên giàu kinh nghiệm chậm hơn 19%
  • Veracode: phát hiện lỗ hổng bảo mật đã biết trong 45% code do AI tạo ra
  • CodeRabbit: code đồng tác giả bởi AI có số lỗi nghiêm trọng cao hơn 1,7 lần, lỗ hổng bảo mật cao hơn 2,74 lần
  • Vangala et al. 2026: tác nhân AI trong môi trường runtime thực tế có thể cần nhiều dependency hơn dự kiến tới 13,5 lần
  • Dự báo nợ kỹ thuật năm 2027 là 1,5 nghìn tỷ USD, và có nhận định rằng hơn 8.000 startup sẽ cần làm lại

• Kết luận: điều cần thiết là hồ sơ trách nhiệm có thể kiểm chứng

1. Trường hợp của YouTube

YouTube đã siết chặt việc hạn chế kiếm tiền đối với nội dung lặp lại và sản xuất hàng loạt trong giai đoạn 2024~2025.
Lý do chính thức là chất lượng nội dung, tính nguyên bản và quản lý nội dung lặp lại.

Điểm cốt lõi là cấu trúc thực thi, hơn là bản thân chính sách.

• Nền tảng phân loại nội dung bằng kiểm duyệt tự động
• Nhà sáng tạo nhận thông báo bị ngừng kiếm tiền đột ngột thường khó biết căn cứ đánh giá cụ thể
• Kháng nghị được xử lý mang tính hình thức
• Trường hợp được phê duyệt lại là có giới hạn
• Kết quả là thiệt hại cuối cùng thuộc về nhà sáng tạo

Nếu cấu trúc này lan sang các nền tảng phần mềm như app store, đơn vị thanh toán hay cloud, thì các app hoặc SaaS được tạo bằng công cụ AI cũng có thể gặp rủi ro tương tự.

• Nền tảng tự động đánh giá đầu ra
• Nếu bị đánh giá là rủi ro thì biện pháp hạn chế sẽ được áp dụng
• Nhà phát triển khó biết căn cứ đánh giá cụ thể
• Kháng cáo hoặc khiếu nại có thể trở nên mang tính hình thức

2. Cùng một cấu trúc đang đi vào IDE và chuỗi triển khai

Cấu trúc trách nhiệm có thể được chia đại khái như sau.

• Nhà cung cấp công cụ AI: giới hạn trách nhiệm về độ chính xác, không xâm phạm quyền và trách nhiệm đối với đầu ra thông qua điều khoản sử dụng
• Nền tảng triển khai: app store, cloud, đơn vị thanh toán... quản lý rủi ro bằng chính sách và đánh giá mức độ rủi ro
• Nhà phát triển/người vận hành: bên chịu trách nhiệm cuối cùng vì đã chấp nhận và triển khai đoạn code do AI tạo ra

Điểm cốt lõi thể hiện rõ trong cấu trúc điều khoản của các công cụ AI coding như GitHub Copilot.

• Dịch vụ thường được cung cấp theo dạng “as-is”

• Việc có sử dụng gợi ý hay không là quyết định của nhà phát triển

• Dù được công cụ AI tạo ra, bên chấp nhận và triển khai vẫn là nhà phát triển.

• Các công cụ AI coding lớn khác nhiều khả năng cũng có cấu trúc trách nhiệm tương tự

• Vì vậy, khi xảy ra lỗi, vấn đề bảo mật hoặc sự cố vận hành, trách nhiệm cuối cùng thuộc về nhà phát triển hoặc người vận hành

3. Vấn đề của vibe coding không phải tốc độ mà là chi phí rà soát bị che giấu

Vibe coding không chỉ là vấn đề năng suất, mà cần được nhìn như một vấn đề trách nhiệm.

Các căn cứ chính như sau.

• Nghiên cứu của METR

  • Các lập trình viên giàu kinh nghiệm kỳ vọng dùng AI sẽ nhanh hơn 24%
  • Nhưng trên thực tế lại mất nhiều hơn 19% thời gian để hoàn thành công việc

• Báo cáo của Veracode

  • Phân tích hơn 100 LLM
  • Phát hiện lỗ hổng bảo mật đã biết trong 45% code do AI tạo ra

• Phân tích của CodeRabbit

  • Phân tích hơn 10 triệu PR
  • Code đồng tác giả bởi AI có số lỗi nghiêm trọng cao hơn 1,7 lần
  • Lỗ hổng bảo mật cao hơn 2,74 lần

• Nghiên cứu của Vangala et al. 2026

  • Tác nhân AI có xu hướng đánh giá thấp các dependency cần thiết
  • Trong runtime thực tế, có thể cần nhiều dependency hơn dự kiến tới 13,5 lần

Tóm lại:

• Code có thể được tạo ra nhanh
• Nhưng ai đó vẫn phải đọc và hiểu đoạn code đó
• Nếu bỏ qua khâu rà soát, cái giá sẽ quay lại dưới dạng chi phí debug và bảo trì
• Vấn đề bảo mật hay dependency rất dễ bùng phát khi dịch vụ đang chạy thực tế

4. Trường hợp thực tế: ứng dụng Tea và rủi ro kiểm duyệt từ nền tảng

Trường hợp của ứng dụng Tea không phải là ví dụ để nói rằng “AI là nguyên nhân”, mà là ví dụ cho thấy cấu trúc trách nhiệm.

• Sự cố xâm phạm của ứng dụng Tea năm 2025
• Đây là ứng dụng an toàn dành cho phụ nữ
• 72.000 hình ảnh nhạy cảm bị lộ
• Nguyên nhân là lỗi cấu hình Firebase và vấn đề xác thực API
• Trách nhiệm công khai cuối cùng vẫn thuộc về phía người vận hành/nhà phát triển

Điểm cốt lõi không phải là khẳng định sự cố này xảy ra vì AI coding.
Điều quan trọng là khi một hệ thống được triển khai mà không có rà soát bài bản rồi phát sinh vấn đề, trách nhiệm cuối cùng không thuộc về công cụ AI mà vẫn thuộc về người vận hành và nhà phát triển.

Trong tương lai, nếu app store, đơn vị thanh toán và cloud dùng nhiều hơn các hệ thống đánh giá rủi ro tự động, cấu trúc này có thể còn được củng cố hơn nữa.

• Đầu ra của AI có thể bị gắn cờ tự động
• Các phán định vi phạm chính sách có thể được tạo ra thường xuyên hơn
• Kháng nghị của nhà phát triển/người vận hành có thể mang tính hình thức
• Có thể sẽ khó liên hệ trực tiếp với người phụ trách thực tế
• Một ứng dụng được đầu tư công sức lớn hoặc SaaS đang kiếm tiền có thể đột ngột bị hạn chế

Vì thế, không chỉ chất lượng code mà cả hồ sơ có thể chứng minh trách nhiệm cũng trở nên quan trọng.

• Tài liệu kiến trúc
• Hồ sơ rà soát bảo mật
• Lý do thay đổi dependency
• Hồ sơ phê duyệt triển khai
• Chủ thể chịu trách nhiệm

5. Cách ứng phó: hồ sơ trách nhiệm có thể kiểm chứng

“Dấu ấn của người thợ” mà bài gốc nhắc đến, trên thực tế gần với khái niệm hồ sơ trách nhiệm có thể kiểm chứng hơn.

Điều cần thiết không phải là tuyên bố rằng “tôi không dùng AI”.
Điều cần thiết là các hồ sơ dưới đây.

• Ai là người xác định yêu cầu?
• Phần nào được AI tạo ra?
• Phần nào được con người chỉnh sửa?
• Con người thực sự đã rà soát những gì?
• Đã vượt qua những bài test nào?
• Có thực hiện rà soát bảo mật hay không?
• Vì sao dependency mới được thêm vào?
• Ai là người phê duyệt triển khai?
• Nếu xảy ra sự cố thì ai có thể giải thích và khắc phục?

Tóm tắt một dòng

AI có thể tạo ra code, nhưng trách nhiệm hiểu và triển khai đoạn code đó vẫn luôn thuộc về con người.