Tôi đã kiểm tra mã nguồn cho các dự án ICO trong nhiều năm. Tôi đã thấy những lỗi overflow trong hàm transferFrom có thể xóa sạch token của người dùng. Và tôi đã vá chúng. Vì vậy, khi Coinbase tuyên bố rằng 95-100% code của họ hiện được viết với sự hỗ trợ của AI, tôi không thấy một cột mốc kỹ thuật. Tôi thấy một danh sách dài các lỗ hổng bảo mật đang chờ được khai thác.
Có một sự khác biệt rất lớn giữa việc AI hỗ trợ viết code và việc AI viết code một cách an toàn. Coinbase đang làm mờ ranh giới đó. Sự thay đổi từ 40% lên 95-100% trong sáu tháng là một bước nhảy vọt đầy kịch tính. Đây không phải là một cải tiến. Đây là một sự thay đổi hoàn toàn trong quy trình phát triển của một trong những nền tảng tài chính quan trọng nhất trong hệ sinh thái tiền điện tử.
Hãy cùng phân tích tại sao tuyên bố này lại gây ra nhiều dấu hiệu đáng báo động hơn là sự lạc quan.
Trong thế giới phát triển phần mềm, đặc biệt là trong lĩnh vực tài chính và blockchain, một tỷ lệ AI hỗ trợ 95-100% nghe có vẻ như một giấc mơ. Nhưng đó là một cơn ác mộng về mặt bảo mật. AI, đặc biệt là các mô hình ngôn ngữ lớn hiện tại, không hiểu ngữ cảnh kinh doanh. Chúng không thể suy luận về các tác động phụ của một thay đổi code nhỏ đối với toàn bộ hệ thống. Chúng là những cỗ máy dự đoán token mạnh mẽ, nhưng chúng không phải là những kỹ sư có kinh nghiệm.
Dựa trên kinh nghiệm audit của tôi, hầu hết các lỗ hổng nghiêm trọng trong smart contract đến từ các cạnh (edge case) mà con người, và chắc chắn là AI, dễ bỏ qua. Một lỗi overflow trong một hàm tưởng chừng như đơn giản có thể dẫn đến mất hàng triệu USD. Khi bạn tăng quy mô sử dụng AI lên mức 95-100%, bạn đang nhân số lượng các cạnh tiềm ẩn đó lên một cách phi tuyến tính.

Rủi ro bảo mật là trọng tâm và là rủi ro hàng đầu.
Điều khiến tôi lo lắng nhất không phải là bản thân AI, mà là sự thiếu minh bạch. Coinbase không công bố bất kỳ thông tin chi tiết kỹ thuật nào. Mô hình AI nào được sử dụng? Tỷ lệ phần trăm code được tạo hoàn toàn tự động so với code được hỗ trợ một phần là bao nhiêu? Quy trình review bảo mật cho code do AI tạo ra là gì? Không có câu trả lời nào.
Sự thiếu minh bạch này, trong bối cảnh một công ty đại chúng, có mùi của một chiến dịch quan hệ công chúng hơn là một tiến bộ công nghệ thực sự. Nó được thiết kế để gửi một tín hiệu đến phố Wall: "Chúng tôi đang ở tuyến đầu của cuộc cách mạng AI." Nhưng đối với bất kỳ ai hiểu về bảo mật phần mềm, đó là một lá cờ đỏ khổng lồ.
Hãy xem xét một kịch bản. Một kỹ sư tại Coinbase sử dụng một công cụ AI để viết một hàm xử lý logic cho một smart contract mới. AI tạo ra code có vẻ hoàn hảo. Nó vượt qua tất cả các bài kiểm tra đơn vị. Nhưng có một lỗ hổng logic tinh vi, một lỗi off-by-one trong một vòng lặp hoặc một điều kiện sai trong một câu lệnh if. Lỗi này không xuất hiện trong các bài kiểm tra tiêu chuẩn. Nó chỉ xuất hiện khi một người dùng độc hại gửi một giao dịch được chế tạo đặc biệt. Trong quy trình phát triển truyền thống, một kỹ sư giàu kinh nghiệm có thể phát hiện ra lỗi này trong quá trình code review. Nhưng khi 95-100% code được hỗ trợ bởi AI, và áp lực phải giao hàng nhanh chóng là rất lớn, lỗi này có thể dễ dàng lọt qua.
Đây không phải là khoa học viễn tưởng. Chúng ta đã thấy điều này xảy ra trong các dự án DeFi nhỏ hơn. Bây giờ, hãy tưởng tượng nó xảy ra trên Coinbase, nơi nắm giữ hàng tỷ USD tài sản của người dùng.
Điều trớ trêu là, đồng thời với việc Coinbase khoe khoang về AI của mình, họ cũng đang định hình lại lực lượng lao động. Điều này thường có nghĩa là sa thải các kỹ sư cấp cao, đắt tiền và thay thế họ bằng các kỹ sư trẻ hơn, rẻ hơn hoặc bằng nhiều AI hơn. Đây là một công thức cho thảm họa. Bạn đang loại bỏ chính những người có kinh nghiệm để phát hiện ra những lỗi tinh vi mà AI tạo ra. Bạn đang làm suy yếu lớp bảo vệ quan trọng nhất của mình.

Đây là một sự thay đổi trong cấu trúc lao động, không chỉ là một nâng cấp công nghệ.
Hãy nhìn vào bức tranh lớn hơn. Tuyên bố của Coinbase không thay đổi vị thế của nó trong hệ sinh thái tiền điện tử. Nó vẫn là một sàn giao dịch tập trung, chịu sự giám sát của SEC. Nhưng nó gửi một tín hiệu rõ ràng đến các cơ quan quản lý: "Chúng tôi đang áp dụng AI với tốc độ chóng mặt, và chúng tôi không có kế hoạch chia sẻ chi tiết." Điều này sẽ thu hút sự chú ý không mong muốn từ SEC và các cơ quan quản lý khác, những người đã lo lắng về việc sử dụng AI trong các dịch vụ tài chính. Nếu có một sự cố bảo mật lớn do code AI gây ra, hậu quả pháp lý sẽ rất nghiêm trọng.
Rủi ro về quy định là có thật và có thể xảy ra.
Tôi không nói rằng AI không có chỗ đứng trong phát triển phần mềm. Nó là một công cụ mạnh mẽ. Nhưng nó phải được sử dụng một cách thận trọng và có kiểm soát. Tỷ lệ 95-100% là một sự liều lĩnh. Nó giống như việc nói rằng bạn sẽ để một tài xế mới lái xe của bạn với tốc độ 200 km/h trên một con đường đầy ổ gà. Bạn có thể đến đích nhanh hơn, nhưng khả năng bạn gặp tai nạn là rất cao.
Thông điệp thực sự ở đây là gì? Nó không phải là về sự đổi mới. Nó là về việc kiểm soát câu chuyện. Coinbase đang cố gắng định vị mình là một công ty công nghệ tiên tiến để thu hút các nhà đầu tư. Nhưng đối với những người trong chúng ta, những người đã dành nhiều năm để đào sâu vào mã nguồn và tìm kiếm các lỗ hổng, tuyên bố này giống như một lời thú tội hơn là một lời khoe khoang. Nó thừa nhận rằng họ đang mạo hiểm với sự an toàn của người dùng của họ để theo đuổi một câu chuyện AI hào nhoáng.
Sự thiếu vắng các chi tiết kỹ thuật và các biện pháp an toàn là một dấu hiệu đỏ cho thấy đây là một quyết định tiếp thị, không phải là một quyết định kỹ thuật.
Vậy, chúng ta nên mong đợi điều gì tiếp theo? Tôi dự đoán rằng, trong vòng 12 tháng tới, sẽ có ít nhất một sự cố bảo mật đáng kể trên Coinbase hoặc một nền tảng lớn khác liên quan trực tiếp đến code do AI tạo ra. Sự cố này có thể không phải là một vụ hack quy mô lớn, mà là một lỗi tinh vi dẫn đến mất dữ liệu, giao dịch sai hoặc mất tài sản tạm thời. Khi điều đó xảy ra, cuộc trò chuyện sẽ chuyển từ "AI giúp chúng tôi viết code nhanh hơn" sang "AI khiến chúng tôi mất tiền của người dùng."
Lời khuyên dành cho các nhà phát triển: Hãy sử dụng AI như một trợ lý, không phải là một người thay thế. Hãy kiểm tra mọi dòng code do AI tạo ra như thể đó là một món quà từ một người lạ. Và quan trọng nhất, đừng bao giờ để câu chuyện về sự đổi mới làm lu mờ các nguyên tắc cơ bản của bảo mật.
Còn đối với Coinbase, tôi sẽ theo dõi chặt chẽ báo cáo tài chính tiếp theo của họ. Nếu chi phí R&D giảm đáng kể, điều đó có thể xác nhận rằng họ thực sự đã thay thế các kỹ sư bằng AI. Và đó là lúc tôi thực sự lo lắng. Vì một đội ngũ kỹ thuật yếu kém, kết hợp với code do AI tạo ra, là một công thức cho một thảm họa tài chính. Câu hỏi không phải là liệu nó có xảy ra hay không, mà là khi nào.