CyberThao
Writer
Trong thế giới phát triển phần mềm, luôn có một cuộc đấu tranh nội tâm diễn ra giữa hai phần trong mỗi lập trình viên: một bên là sự thôi thúc sáng tạo muốn viết mã thật nhanh và triển khai càng sớm càng tốt; bên còn lại là sự thận trọng, luôn muốn kiểm tra kỹ lưỡng từng dòng mã để đảm bảo không có rủi ro bảo mật nào tồn tại. Những lập trình viên giàu kinh nghiệm có thể cân bằng được hai mặt này. Nhưng với những người mới vào nghề hoặc làm việc quá tải, sự vội vàng thường chiếm ưu thế — và hậu quả là vô tình để lộ ra các bí mật của nhà phát triển.
Những "chìa khóa vương quốc" dễ bị lộ hơn bao giờ hết
Bí mật của nhà phát triển là những thông tin nhạy cảm như khóa API, khóa SSH, mã thông báo xác thực hoặc thông tin đăng nhập chưa được mã hóa. Dù cụm từ “chìa khóa của vương quốc” có thể sáo rỗng, nhưng không gì diễn tả chính xác hơn sức mạnh mà những dữ liệu này nắm giữ. Vấn đề là những kẻ tấn công hiểu rõ điều đó — và chúng luôn tích cực tìm kiếm các bí mật này trên Internet, từ môi trường dev cho đến các tệp cấu hình Git.
Điều đáng lo ngại là các bí mật này không nhất thiết phải bị lộ trên kho mã công khai mới bị khai thác. Chúng thường được chia sẻ thông qua tin nhắn riêng trên Slack, Jira hoặc lưu trữ đơn giản trên máy tính cá nhân — nơi mà khóa SSH không được mã hóa thường là mục tiêu đầu tiên của hacker khi xâm nhập.
Một khi kẻ xấu có được bí mật này, chúng có thể thực hiện đủ kiểu tấn công: đánh cắp dữ liệu, di chuyển ngang trong hệ thống, cài đặt ransomware hoặc thậm chí chỉnh sửa mã một cách âm thầm.
AI đang đẩy rủi ro lên cấp số nhân
Trên thực tế, vấn đề rò rỉ bí mật của nhà phát triển đã là một “đại dịch” trước cả khi AI xuất hiện. Nhưng kể từ khi các trợ lý mã nguồn mở và AI như GitHub Copilot trở nên phổ biến, tình hình càng trở nên nghiêm trọng hơn.
Theo báo cáo The State of Secrets Sprawl 2025 của GitGuardian, đã có gần 24 triệu bí mật bị hardcode trong các kho GitHub công khai – tăng 25% so với năm trước. Một phần nguyên nhân là do sự gia tăng của lập trình viên mới. Nhưng trợ lý mã AI cũng có vai trò lớn: GitGuardian phát hiện rằng các kho chứa sử dụng Copilot có khả năng lộ bí mật cao hơn 40% so với kho không dùng AI.
Vấn đề không nằm ở AI bản thân, mà là cách con người sử dụng nó. Các lập trình viên trẻ hoặc thiếu kinh nghiệm có thể không đủ kỹ năng để đánh giá rủi ro bảo mật, và trong môi trường yêu cầu tốc độ, họ dễ dàng bỏ qua bước kiểm tra để “triển khai trước, sửa sau”.
Bản thân người viết — vừa là chuyên gia bảo mật, vừa đam mê AI — cũng cảm thấy phấn khích khi có thể viết mã nhanh chóng với trợ lý AI. Nhưng sự khác biệt là ở kinh nghiệm và môi trường: đội ngũ của tôi kiểm tra nghiêm ngặt, minh bạch khi sử dụng AI, và không chịu áp lực triển khai nhanh bằng mọi giá.
Nhiều kỹ sư khác không được may mắn như vậy. Họ chưa có khả năng “tự kiểm duyệt” mã do AI tạo ra, và không có người hướng dẫn để chỉ ra rằng “mã trong repo riêng chỉ cần sai một cấu hình là trở thành công khai”. Nếu không có các hàng rào kỹ thuật và văn hóa phù hợp, việc rò rỉ bí mật sẽ như dòng thác không thể kiểm soát.
Giải pháp: Nuôi dưỡng "siêu bản ngã" an ninh mạnh mẽ
Vậy làm sao để giảm thiểu rủi ro này? Câu trả lời là kết hợp giữa công cụ và văn hóa:
Sử dụng các công cụ phát hiện bí mật tự động, giúp phát hiện các bí mật trước khi chúng bị đưa vào mã. Tuy nhiên, 58% bí mật mà GitGuardian phát hiện vào năm 2024 là “bí mật chung” – không theo mẫu cụ thể nên dễ lọt qua công cụ tự động.
Không chia sẻ thông tin nhạy cảm qua Slack hay lưu trên ổ cứng cá nhân, thay vào đó cung cấp giải pháp lưu trữ và chia sẻ thông tin xác thực được mã hóa, an toàn.
Cung cấp công cụ AI chính thống, tránh để nhà phát triển phải lén sử dụng các AI không được kiểm soát.
Tích hợp quản lý bí mật trong hệ thống AI, để AI có thể vận hành mà không cần truy cập trực tiếp vào bí mật.
Nhà phát triển cấp cao cần kiểm tra nghiêm ngặt tất cả mã — kể cả mã do AI tạo ra, và làm người hướng dẫn cho đồng nghiệp mới.
Cách duy nhất để phát triển an toàn trong thời đại AI là nuôi dưỡng cả hai mặt của người lập trình: sự sáng tạo và ý thức bảo mật. Khi kết hợp đúng, chúng ta có thể tận dụng sức mạnh AI mà không vô tình trao "chìa khóa" vào tay kẻ xấu.
Những "chìa khóa vương quốc" dễ bị lộ hơn bao giờ hết
Bí mật của nhà phát triển là những thông tin nhạy cảm như khóa API, khóa SSH, mã thông báo xác thực hoặc thông tin đăng nhập chưa được mã hóa. Dù cụm từ “chìa khóa của vương quốc” có thể sáo rỗng, nhưng không gì diễn tả chính xác hơn sức mạnh mà những dữ liệu này nắm giữ. Vấn đề là những kẻ tấn công hiểu rõ điều đó — và chúng luôn tích cực tìm kiếm các bí mật này trên Internet, từ môi trường dev cho đến các tệp cấu hình Git.
Điều đáng lo ngại là các bí mật này không nhất thiết phải bị lộ trên kho mã công khai mới bị khai thác. Chúng thường được chia sẻ thông qua tin nhắn riêng trên Slack, Jira hoặc lưu trữ đơn giản trên máy tính cá nhân — nơi mà khóa SSH không được mã hóa thường là mục tiêu đầu tiên của hacker khi xâm nhập.
Một khi kẻ xấu có được bí mật này, chúng có thể thực hiện đủ kiểu tấn công: đánh cắp dữ liệu, di chuyển ngang trong hệ thống, cài đặt ransomware hoặc thậm chí chỉnh sửa mã một cách âm thầm.
AI đang đẩy rủi ro lên cấp số nhân
Trên thực tế, vấn đề rò rỉ bí mật của nhà phát triển đã là một “đại dịch” trước cả khi AI xuất hiện. Nhưng kể từ khi các trợ lý mã nguồn mở và AI như GitHub Copilot trở nên phổ biến, tình hình càng trở nên nghiêm trọng hơn.
Theo báo cáo The State of Secrets Sprawl 2025 của GitGuardian, đã có gần 24 triệu bí mật bị hardcode trong các kho GitHub công khai – tăng 25% so với năm trước. Một phần nguyên nhân là do sự gia tăng của lập trình viên mới. Nhưng trợ lý mã AI cũng có vai trò lớn: GitGuardian phát hiện rằng các kho chứa sử dụng Copilot có khả năng lộ bí mật cao hơn 40% so với kho không dùng AI.
Vấn đề không nằm ở AI bản thân, mà là cách con người sử dụng nó. Các lập trình viên trẻ hoặc thiếu kinh nghiệm có thể không đủ kỹ năng để đánh giá rủi ro bảo mật, và trong môi trường yêu cầu tốc độ, họ dễ dàng bỏ qua bước kiểm tra để “triển khai trước, sửa sau”.
Bản thân người viết — vừa là chuyên gia bảo mật, vừa đam mê AI — cũng cảm thấy phấn khích khi có thể viết mã nhanh chóng với trợ lý AI. Nhưng sự khác biệt là ở kinh nghiệm và môi trường: đội ngũ của tôi kiểm tra nghiêm ngặt, minh bạch khi sử dụng AI, và không chịu áp lực triển khai nhanh bằng mọi giá.
Nhiều kỹ sư khác không được may mắn như vậy. Họ chưa có khả năng “tự kiểm duyệt” mã do AI tạo ra, và không có người hướng dẫn để chỉ ra rằng “mã trong repo riêng chỉ cần sai một cấu hình là trở thành công khai”. Nếu không có các hàng rào kỹ thuật và văn hóa phù hợp, việc rò rỉ bí mật sẽ như dòng thác không thể kiểm soát.
Giải pháp: Nuôi dưỡng "siêu bản ngã" an ninh mạnh mẽ
Vậy làm sao để giảm thiểu rủi ro này? Câu trả lời là kết hợp giữa công cụ và văn hóa:
Sử dụng các công cụ phát hiện bí mật tự động, giúp phát hiện các bí mật trước khi chúng bị đưa vào mã. Tuy nhiên, 58% bí mật mà GitGuardian phát hiện vào năm 2024 là “bí mật chung” – không theo mẫu cụ thể nên dễ lọt qua công cụ tự động.
Không chia sẻ thông tin nhạy cảm qua Slack hay lưu trên ổ cứng cá nhân, thay vào đó cung cấp giải pháp lưu trữ và chia sẻ thông tin xác thực được mã hóa, an toàn.
Cung cấp công cụ AI chính thống, tránh để nhà phát triển phải lén sử dụng các AI không được kiểm soát.
Tích hợp quản lý bí mật trong hệ thống AI, để AI có thể vận hành mà không cần truy cập trực tiếp vào bí mật.
Nhà phát triển cấp cao cần kiểm tra nghiêm ngặt tất cả mã — kể cả mã do AI tạo ra, và làm người hướng dẫn cho đồng nghiệp mới.
Cách duy nhất để phát triển an toàn trong thời đại AI là nuôi dưỡng cả hai mặt của người lập trình: sự sáng tạo và ý thức bảo mật. Khi kết hợp đúng, chúng ta có thể tận dụng sức mạnh AI mà không vô tình trao "chìa khóa" vào tay kẻ xấu.
The Hacker News
Đọc chi tiết tại đây: https://thehackernews.com/expert-insights/2025/06/exposed-developer-secrets-are-big.html
