Tin ngành
CEO Việt dùng Claude AI thay lập trình viên lương 30 triệu và cái kết 'dở khóc dở cười'
(giờ Việt Nam)
Tóm tắt AI
Sau khi khoe dùng AI thay thế nhân sự kỹ thuật, vị CEO này đã gặp rắc rối lớn khi hệ thống website của mình bị cộng đồng mạng đặt dấu hỏi về tính ổn định và bảo mật.
Bản dịch AI
Chỉ vài ngày sau một bài đăng gây chú ý, chủ nhân của một website khóa học tại Việt Nam phải đối mặt với hàng loạt câu hỏi về cách vận hành hệ thống của chính mình.
Một tuyên bố tự tin về việc dùng AI thay thế lập trình viên đã nhanh chóng vấp phải phản ứng ngược, sau khi cộng đồng công nghệ phát hiện hàng loạt lỗ hổng bảo mật cơ bản trên chính website liên quan.
Một bài đăng trên mạng xã hội của một CEO đứng lớp khóa học đầu tư trực tuyến gây chú ý trong cộng đồng công nghệ, khi tuyên bố chỉ cần trả 500.000 đồng mỗi tháng cho Claude AI là đủ để thay thế một lập trình viên có 5 năm kinh nghiệm, mức lương 30 triệu đồng mỗi tháng. Bài đăng nhanh chóng được chia sẻ rộng rãi, nhưng theo chiều hướng khác với kỳ vọng ban đầu.
Bài đăng mạng xã hội tuyên bố dùng AI thay thế lập trình viên của một CEO người Việt - Ảnh chụp màn hình
Nhiều lập trình viên sau đó vào kiểm tra trực tiếp website được nhắc tới và phát hiện có thể giành quyền quản trị chỉ bằng vài dòng lệnh gõ trong công cụ DevTools của trình duyệt, không cần nhập bất kỳ tài khoản hay mật khẩu nào. Nguyên nhân nằm ở việc toàn bộ logic phân quyền admin được xử lý ngay trên trình duyệt của người dùng, thay vì được máy chủ xác thực lại. Bất kỳ ai mở được công cụ dành cho lập trình viên trên trình duyệt, một tính năng có sẵn miễn phí trên mọi trình duyệt, đều có thể tự gán cho mình quyền quản trị.
Cách một trang quản trị có thể bị truy cập trái phép nếu việc phân quyền chỉ nằm ở phía trình duyệt
Một người dùng Facebook cho biết ai cũng có thể truy cập trang quản trị của trang web này một cách dễ dàng, ngoài ra còn có thể "xoá sổ" cả cơ sở dữ liệu của trang web vì toàn bộ logic nghiệp vụ nằm ở frontend - Ảnh chụp màn hình
Không dừng lại ở đó, phần mã nguồn hiển thị công khai của website còn chứa đường dẫn và khóa truy cập cơ sở dữ liệu, danh sách tài khoản quản trị kèm email và mật khẩu, cùng số tài khoản ngân hàng nhận thanh toán. Toàn bộ những thông tin này vốn cần được giữ kín ở phía máy chủ, nhưng lại nằm ngay trong đoạn mã mà bất kỳ ai cũng tải về được khi mở trang web.
Ví dụ về việc để lộ khóa truy cập cơ sở dữ liệu ngay trong mã nguồn công khai của một website - Ảnh: Người dùng Threads
Với khóa truy cập bị lộ, một số lập trình viên cho biết đã kết nối thẳng vào cơ sở dữ liệu và xem được danh sách hơn 200 thành viên đã đăng ký khóa học, trong đó mật khẩu người dùng được lưu ở dạng văn bản thường, không qua bước mã hóa. Đây là một trong những nguyên tắc cơ bản nhất khi xây dựng hệ thống lưu trữ tài khoản người dùng.
Sự việc đi xa hơn khi một người dùng để lại bình luận cho biết đã xóa toàn bộ bảng dữ liệu của hệ thống. Ảnh chụp màn hình sau đó cho thấy trang quản trị của website trống trơn, kèm thông báo lỗi không tìm thấy bảng dữ liệu đăng ký khóa học.
Vài ngày sau, vị CEO này đăng bài phản hồi, cho biết bài đăng ban đầu về Claude AI là nội dung do một công cụ tự động tạo và đăng lên mạng xã hội mà chưa qua kiểm duyệt. Ông cũng cho biết website đã ghi nhận hơn 1.000 lượt truy cập có dấu hiệu dò quét kèm địa chỉ IP kể từ sau sự việc, đồng thời thừa nhận hệ thống hiện vẫn đang trong quá trình khắc phục. Trong bài đăng, ông gửi lời xin lỗi và cảm ơn cộng đồng lập trình viên vì những kiến thức bảo mật mà ông cho biết đã học được, ví lượng kiến thức này tương đương một năm tự học bình thường.
Bài đăng mới nhất của vị CEO người Việt cho biết bài đăng ban đầu là do... AI tạo ra - Ảnh chụp màn hình
Đến thời điểm hiện tại, theo lời vị CEO này, website vẫn tiếp tục bị dò quét và chưa khẳng định đã khắc phục triệt để các lỗ hổng mà cộng đồng lập trình viên đã chỉ ra.
Bài viết được AI dịch và tổng hợp tự động từ GenK AI. Liên kết bài gốc ở phía trên. AIHOT.vn luôn dẫn nguồn đầy đủ — nếu bạn thấy điểm cần chỉnh sửa, hãy gửi ý kiến tại trang phản hồi.