Công cụ mới hướng tới việc làm cho ‘lập trình cảm tính’ bằng AI an toàn hơn cho tiền điện tử

Trong thế giới tiền điện tử, nơi các lỗi lập trình có thể dẫn đến mất mát hàng triệu đô la, một xu hướng mới nổi đang gây lo ngại: các nhà phát triển sử dụng trí tuệ nhân tạo để viết mã mà không hiểu đầy đủ về những gì nó thực sự làm.

Hiện tượng này, đôi khi được gọi là “lập trình cảm tính” (vibe coding), đã thúc đẩy sự ra đời của các công cụ mới nhằm kiểm tra và phân tích mã do AI tạo ra, đặc biệt là trong lĩnh vực hợp đồng thông minh.

Rủi ro từ việc tin tưởng mù quáng vào AI

Vào tháng 4, một nhà phát triển đã sử dụng một chatbot AI để tạo ra mã cho một token meme có tên Normie. Mã này chứa một lỗ hổng cho phép kẻ tấn công đánh cắp toàn bộ quỹ thanh khoản của token, trị giá hàng trăm nghìn đô la. Sự cố này làm nổi bật rủi ro khi các nhà phát triển dựa vào AI mà không có sự giám sát thích hợp.

Trong một bài đăng trên X, nhà nghiên cứu bảo mật spreekaway đã cảnh báo về sự nguy hiểm của việc này: “Các nhà phát triển đang sử dụng AI để viết mã mà họ không hiểu. Điều này đặc biệt nguy hiểm đối với các hợp đồng thông minh, nơi các lỗi có thể dẫn đến mất mát tiền thật.”

Các công cụ kiểm tra mã AI ra đời

Để giải quyết vấn đề này, các công ty và nhà nghiên cứu đang phát triển các công cụ chuyên dụng. Ví dụ, công ty khởi nghiệp Mindgard gần đây đã ra mắt một công cụ có tên Lighthouse, được thiết kế để kiểm tra các mô hình ngôn ngữ lớn (LLM) về các lỗ hổng bảo mật trong mã mà chúng tạo ra.

Trong khi đó, nhà nghiên cứu Bartek Kiepuszewski đã tạo ra một công cụ có tên ai-audit, cho phép các nhà phát triển kiểm tra xem liệu mã do AI tạo ra có chứa các lỗ hổng đã biết hay không. Công cụ này hoạt động bằng cách so sánh mã mới với cơ sở dữ liệu các lỗi phổ biến.

Kiepuszewski giải thích động lực của mình: “Mục tiêu là cung cấp một lớp bảo vệ cơ bản. Nếu AI đề xuất một đoạn mã trông giống với một lỗ hổng đã biết, công cụ sẽ cảnh báo bạn ngay lập tức.”

Thách thức và tương lai

Tuy nhiên, các chuyên gia cảnh báo rằng những công cụ này không phải là giải pháp toàn diện. Chúng có thể giúp phát hiện các lỗi phổ biến, nhưng không thể thay thế được kiến thức chuyên môn và sự đánh giá cẩn thận của con người.

Ông Ben Waugh từ Mindgard nhấn mạnh: “AI là một công cụ mạnh mẽ, nhưng nó không phải là một pháp sư. Các nhà phát triển vẫn cần phải hiểu những nguyên tắc cơ bản và chịu trách nhiệm về mã mà họ triển khai, bất kể nó được tạo ra bằng cách nào.”

Khi AI ngày càng được tích hợp vào quy trình phát triển phần mềm, nhu cầu về các biện pháp bảo vệ và công cụ kiểm tra chắc chắn sẽ tăng lên, đặc biệt là trong các lĩnh vực nhạy cảm như tài chính phi tập trung (DeFi), nơi hậu quả của một dòng mã sai có thể rất thảm khốc.