#1percentbetter

Vibe coding với AI cực kỳ năng suất - nhưng 53% code AI sinh ra không qua nổi security review. Bài này tôi phân tích những lỗ hổng phổ biến nhất trong AI-generated code và checklist thực tế để vừa vibe vừa không mất ngủ vì production. Anh bạn tôi - một solo founder đang build SaaS app với Cursor - gọi điện lúc 11 giờ đêm tuần trước. "Ông ơi, tôi vừa nhận email từ khách hàng. Họ nói thấy data của người khác trong account của họ." Anh ấy đã dùng Cursor để build toàn bộ cái app trong 3 tuần. AI viết hết - backend, frontend, database schema, authentication. Năng suất khủng khiếp. Anh ấy tự hào lắm. Ra production mới phát hiện: AI đã generate thiếu Row Level Security (RLS) cho Supabase. Mọi user đều đọc được data của nhau. Đây không phải câu chuyện cá biệt. Vibe coding - cái trend "để AI viết hết, mình chỉ describe" - đang thay đổi hoàn toàn cách developer làm việc. Cursor, GitHub Copilot, Claude, v0.dev... Tôi dùng hàng ngày. Năng suất tăng 3-5x là thật. Thời gian từ idea đến MVP giảm từ tuần xuống ngày là thật. Nhưng có một thứ AI rất kém: security sense.

Hầu hết developer đang dùng AI chỉ một cách: giao việc và chờ kết quả. Nhưng có hai cách hiệu quả hơn nhiều - và một trong số đó có thể thay đổi hoàn toàn cách bạn làm việc. Bài này là framework tôi dùng để tự đánh giá mình đang khai thác AI đến đâu. Tuần trước tôi ngồi cà phê với một anh bạn - senior developer 8 năm kinh nghiệm, tôi gọi là anh Hưng cho dễ. Anh vừa xong một sprint khá nặng, và câu đầu tiên mở miệng là: "Mày ơi, giờ tao làm việc với AI nhiều lắm, năng suất tăng rõ rệt." Tôi gật đầu, hỏi tiếp: "Bạn đang dùng theo cách nào?" Anh Hưng giải thích: ChatGPT để viết unit test. GitHub Copilot để gợi ý code. Claude để explain stack trace. Ổn đấy. Tôi hỏi tiếp: "Còn ngoài ra?" Anh im lặng một lúc. "Ngoài ra là... mình hỏi nó trả lời, xong mình copy, sửa lại, done." Câu đó làm tôi nghĩ nhiều. Không phải vì anh Hưng dùng AI sai - mà vì câu đó mô tả chính xác cách phần lớn developer giỏi đang bỏ lỡ hai phần ba giá trị của AI.

Vibe coding với AI không chỉ là productivity hack. Nó là cơ hội để tái phân bổ thời gian - từ chỗ ngồi viết boilerplate một mình, sang chỗ học từ người thật. Và thứ tôi học được từ người không AI nào replicate được.

Developer không thiếu willpower - họ thiếu hệ thống đúng. Habit stacking giúp bạn duy trì sức khỏe mà không cần thêm thời gian, không cần ý chí sắt, chỉ cần gắn habit mới vào thứ đã làm hàng ngày rồi để nó compound. Năm ngoái, tôi gặp lại một anh bạn cũ - senior developer tại một công ty fintech lớn, 12 năm kinh nghiệm, tay nghề rất tốt. Anh ấy 38 tuổi. Vừa được chẩn đoán thoát vị đĩa đệm cổ độ 3, huyết áp cao, ngủ không sâu. Tôi hỏi: "Anh không tập thể dục à?" Anh nhìn tôi, cười chua: "Tôi có. Lên gym được 2 tuần, sau đó deadline dồn lên thì đứt. Tôi biết mình phải tập, nhưng không biết sao cứ không giữ được." Câu đó ám tôi mãi.

Microsoft vừa đồng loạt ship một loạt sản phẩm AI trong Q1/2026 - từ Phi-4 chạy local không tốn cloud, đến GitHub Copilot Agent Mode tự resolve issue và tạo PR, đến Azure AI Foundry GA cho production. Là dev .NET 20 năm, tôi thấy đây là lần đầu tiên Microsoft không chỉ ra mắt feature - họ đang xây cả một hệ sinh thái.

Trong thời đại AI viết code, dự đoán bug, và generate bất kỳ tài liệu kỹ thuật nào, thứ không thể tự động hóa lại là điều đơn giản nhất: cuộc trò chuyện thật sự giữa người với người. Và chính điều đó đang trở thành lợi thế cạnh tranh lớn nhất của bạn.

Khóa học này không dạy bạn dùng ChatGPT hay Copilot - những thứ đó bạn tự học trong vài giờ. Nó dạy bạn cách suy nghĩ khi làm việc với AI: khi nào tin, khi nào kiểm tra, và làm thế nào để AI thực sự mở rộng năng lực của bạn thay vì chỉ giúp bạn gõ nhanh hơn. Có một câu hỏi tôi nhận được rất nhiều trong thời gian gần đây, từ rất nhiều người khác nhau - từ developer mới ra trường, đến senior engineer 10 năm kinh nghiệm, đến PM và designer không có nền tảng kỹ thuật: "Mình nên học AI bắt đầu từ đâu?" Lần đầu tiên nghe câu hỏi này, tôi nghĩ câu trả lời đơn giản: "Cài Copilot đi, thử vài ngày là quen." Nhưng càng ngày tôi càng nhận ra câu hỏi đó không phải về tool. Nó là về thứ gì đó sâu hơn - một cảm giác mơ hồ rằng thế giới đang thay đổi theo cách mà bạn chưa hiểu rõ, và bạn muốn không bị bỏ lại phía sau. Tôi đã nghe câu hỏi đó đủ nhiều lần để quyết định làm một điều gì đó có hệ thống hơn là trả lời từng người một. Và đó là lý do khóa học này ra đời.

77% nhân viên từng paste thông tin công ty vào AI tools, và hầu hết không nghĩ đó là vấn đề. Là developer, chúng ta đang ngồi giữa ba vùng rủi ro: mã nguồn bị lộ, bản quyền code tranh chấp, dữ liệu người dùng đi lạc. Đây là 3 nguyên tắc tôi đang áp dụng - không phải lý thuyết đạo đức, mà là self-defense thực tế.

AI coding tools đã qua 3 giai đoạn: autocomplete → chat → pair programmer chủ động. Ở mỗi giai đoạn, kỹ năng developer cần không phải là "viết code giỏi hơn" - mà là "nhìn nhận vấn đề sâu hơn". Bài này là roadmap thực tế từ 20 năm kinh nghiệm + 2 năm dùng AI hàng ngày.

Sau hơn hai năm làm việc với AI mỗi ngày, đây là góc nhìn thật của tôi - không phải bài review tool, không phải PR marketing, không phải tiên tri tương lai. Chỉ là một người làm nghề 20 năm ngồi nhìn lại và cố hiểu xem cái thứ đang thay đổi ngành này thực sự ý nghĩa gì với mình. Lần đầu tiên AI nói dối tôi một cách tự tin, tôi đang ngồi debug một issue khá phức tạp về EF Core query performance trong một dự án e-commerce lớn. Tôi paste đoạn code vào ChatGPT, mô tả vấn đề. Ba giây sau, một câu trả lời dài và trông rất chuyên nghiệp xuất hiện: nguyên nhân là X, giải pháp là Y, code example đây. Formatting đẹp, giọng tự tin, đủ keyword kỹ thuật để nghe hợp lý. Tôi thử Y. Không chạy. Thử lại. Vẫn không chạy. Đọc kỹ lại câu trả lời, tôi nhận ra vấn đề: method AI đề xuất không tồn tại trong phiên bản EF Core tôi đang dùng. AI đã tưởng tượng ra một API không có thật, rồi giải thích nó với độ tự tin tuyệt đối. Tôi ngồi im một lúc. Đây không phải lần AI trả lời sai đầu tiên - nhưng đây là lần đầu tiên tôi thấy rõ cái gap giữa "trông có vẻ đúng" và "thực sự đúng" một cách sắc nét đến vậy. Và cái cảm giác đó không rời tôi kể từ đó.