Naeildo: Chỉ cần nhập URL, 9 AI agent sẽ phân tích bảo mật cho dịch vụ vibe coding của bạn

Xin chào, chúng tôi là đội ngũ đang xây dựng Naeildo.

Ngày càng có nhiều người tạo dịch vụ rất nhanh bằng các công cụ lập trình AI như Cursor hay Claude Code. Chúng tôi cũng là một trong số đó, và rồi một ngày chợt còn lại câu hỏi: "Đoạn mã này có thực sự an toàn không?"

Chúng tôi quyết định tự kiểm tra. Chúng tôi đã phân tích 28 dịch vụ thực tế của các startup trong nước theo tiêu chuẩn OWASP Top 10, và kết quả cho ra lại khác với dự đoán.

• Phát hiện lỗ hổng bảo mật trong 45% mã do AI tạo ra
• Điểm bảo mật trung bình của 28 dịch vụ: 19,4/100
• Các lỗ hổng phổ biến nhất: hardcode API key, không thiết lập thời gian hết hạn JWT, cho phép toàn bộ CORS

Chúng tôi đã tạo ra Naeildo vì muốn giải quyết vấn đề này.

Hoạt động như thế nào

Khi nhập URL, 9 AI agent sẽ được chia thành 3 đội để phân tích.

• Đội Guard (3 người): phân tích mã tĩnh, kiểm toán dependency, kiểm tra bảo mật hạ tầng
• Đội Analyst (3 người): kiểm thử bảo mật động, xác minh xác thực/kiểm soát truy cập, phân tích mẫu mã AI
• Đội Verifier (3 người): kiểm tra tuân thủ tiêu chuẩn OWASP, xác minh compliance, đối chiếu chéo toàn bộ kết quả

Sau khi mỗi agent phân tích độc lập, hệ thống sẽ đối chiếu chéo qua quy trình hai tuyến (thu thập tín hiệu bên ngoài từ URL + tích hợp máy chủ MCP). Đây là cấu trúc để agent khác phát hiện những điểm mà một agent bỏ sót.

Bạn không cần gửi trực tiếp mã nguồn. Hệ thống thu thập và phân tích các tín hiệu có thể quan sát được từ URL như header, TLS, CORS, DNS, metadata nội dung.

Kết quả phân tích

• Danh sách lỗ hổng + phân loại mức độ nghiêm trọng
• Hướng dẫn cải thiện theo từng bước: chỉ cần làm lần lượt từ bước 1 đến hết (kèm ví dụ mã sửa)
• Báo cáo PDF: dạng tài liệu có thể chia sẻ sau khi tổng hợp kết quả kiểm tra bảo mật
• Định dạng Markdown: để lập trình viên có thể triển khai ngay

Lý do chúng tôi tạo ra nó

Theo khảo sát của KISIA, 67,4% doanh nghiệp trong nước không tự vận hành tổ chức bảo mật, và số nhân sự chuyên trách bảo mật trung bình mỗi doanh nghiệp chỉ là 0,8 người. Ngay cả khi muốn kiểm tra bảo mật, cũng rất khó bắt đầu nếu không có nhân sự chuyên môn hoặc thuê ngoài.

Tốc độ tạo dịch vụ bằng công cụ lập trình AI đã nhanh hơn, nhưng chúng tôi cảm thấy vẫn thiếu những phương tiện dễ tiếp cận để xác minh đoạn mã đó. Mọi thứ bắt đầu từ suy nghĩ rằng sẽ thật tốt nếu có thể chạy phân tích ngay chỉ với một URL.

Tech stack

• Ứng dụng web dựa trên Next.js
• Kiến trúc Multi-AI Agent (3 đội Guard / Analyst / Verifier, tổng 9 agent)
• Pipeline đối chiếu chéo đa mô hình dựa trên URL

Nếu bạn có phản hồi hoặc câu hỏi nào, hãy để lại bình luận. Các câu hỏi kỹ thuật cũng rất được hoan nghênh. Chúng tôi sẽ tích cực trả lời.

https://naeildo.com