Sếp Việt khoe dùng Claude AI thay thế lập trình viên chỉ tốn 500.000 nhận cái kết ngậm ngùi

Linh Pham
Linh Pham
Phản hồi: 0

Linh Pham

Intern Writer
Cộng đồng công nghệ, đặc biệt là các anh em lập trình viên trên các diễn đàn, đang được một phen "hả hê" trước một màn lật xe đi vào lòng đất. Mọi chuyện bắt nguồn từ bài đăng đầy tự tin của một CEO đứng lớp khóa học đầu tư trực tuyến tại Việt Nam. Vị này tuyên bố xanh rờn: Chỉ cần bỏ ra 500.000 đồng mỗi tháng để mua tài khoản Claude AI là đủ để thay thế hoàn toàn một lập trình viên có 5 năm kinh nghiệm với mức lương 30 triệu đồng/tháng. Ngay lập tức, bài đăng này trở thành tâm điểm ném đá và mở ra một cuộc "thẩm định kỹ thuật" có một không hai từ cộng đồng Dev Việt.
1783586967735.png

Hack trang quản trị bằng phím F12: Lỗ hổng frontend đi vào lịch sử​

Bực mình trước phát ngôn coi thường nghề nghiệp, hàng loạt lập trình viên đã vào "ghé thăm" website khóa học của vị CEO này để kiểm tra xem con AI 500k/tháng code đỉnh đến mức nào. Kết quả khiến tất cả ngã ngửa: Người ta có thể giành trọn quyền quản trị (Admin) của trang web chỉ bằng vài thao tác cơ bản trên công cụ DevTools (F12) của trình duyệt mà không cần nhập bất kỳ tài khoản hay mật khẩu nào!

Cách một trang quản trị có thể bị truy cập trái phép nếu việc phân quyền chỉ nằm ở phía trình duyệt

Nguyên nhân là do toàn bộ logic phân quyền admin được xử lý ngớ ngẩn ngay ở phía frontend (trình duyệt của người dùng) thay vì phải được máy chủ (backend) xác thực. Bất kỳ ai biết bấm F12 đều có thể tự gán cho mình quyền tối cao trên website này.

"Món quà" cho Hacker: Lộ sạch Key cơ sở dữ liệu, mật khẩu lưu dạng văn bản thô​

Sự yếu kém của hệ thống do AI xây dựng chưa dừng lại ở đó. Khi mổ xẻ phần mã nguồn hiển thị công khai, các Dev phát hiện website này để lộ luôn cả đường dẫn, khóa truy cập cơ sở dữ liệu (Database Key), danh sách tài khoản quản trị kèm email, và cả số tài khoản ngân hàng nhận tiền.
1783587071341.png

Ví dụ về việc để lộ khóa truy cập cơ sở dữ liệu ngay trong mã nguồn công khai của một website
Nghiêm trọng hơn, một số lập trình viên thử kết nối thẳng vào database và phát hiện danh sách hơn 200 học viên đăng ký khóa học đang bị phơi bày. Toàn bộ mật khẩu của người dùng đều lưu ở dạng văn bản thường (plain text) — một lỗi bảo mật sơ đẳng nhất mà ngay cả sinh viên CNTT năm nhất cũng không bao giờ phạm phải. Hậu quả là một lập trình viên đã "tiện tay" xóa sổ luôn toàn bộ bảng dữ liệu của hệ thống, khiến trang web trống trơn và báo lỗi sập nguồn.

Quay xe khét lẹt: Đổ lỗi cho AI tự đăng bài và lời xin lỗi muộn màng​

Sau vài ngày im lặng hứng chịu "gạch đá" và chứng kiến đứa con cưng bị đánh sập, vị CEO đã phải đăng đàn viết tâm thư phản hồi. Cú quay xe khét lẹt nhất là ông đổ lỗi cho bài viết "thay thế Dev" ban đầu thực chất là do... một công cụ AI tự động tạo và tự đăng lên mạng xã hội chứ ông chưa kịp kiểm duyệt.
1783587112300.png

Bài đăng mới nhất của vị CEO người Việt cho biết bài đăng ban đầu là do... AI tạo ra
Vị CEO thừa nhận hệ thống đã hứng chịu hơn 1.000 lượt dò quét, tấn công IP và hiện vẫn đang trong quá trình còng lưng khắc phục. Ông gửi lời xin lỗi, đồng thời cảm ơn cộng đồng lập trình viên vì đã dạy cho ông một bài học bảo mật xương máu, tương đương với... 1 năm tự học. Hiện tại, website này vẫn đang tiếp tục bị giới công nghệ "hỏi thăm" và chưa biết khi nào mới có thể vá hết đống lỗ hổng do "Coder AI giá 500k" tạo ra.
 


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
http://textlink.linktop.vn/?adslk=aHR0cHM6Ly93d3cudm5yZXZpZXcudm4vdGhyZWFkcy9zZXAtdmlldC1raG9lLWR1bmctY2xhdWRlLWFpLXRoYXktdGhlLWxhcC10cmluaC12aWVuLWNoaS10b24tNTAwLTAwMC1uaGFuLWNhaS1rZXQtbmdhbS1uZ3VpLjg3MjA5Lw==
Top