Sự tự mãn khi tự động hóa, phiên bản bảo mật
Khoảnh khắc nguy hiểm nhất không phải ngày đầu tiên — mà là ngày thứ chín mươi. Vào ngày đầu tiên bạn thận trọng; bạn đọc từng diff, chạy kẻ tấn công, kiểm tra trình xử lý tải file lên. Rồi một trăm thay đổi được phát hành và không có gì tệ xảy ra, và việc kiểm tra bắt đầu cảm giác như một nghi thức. Bạn bỏ qua cổng soát "chỉ lần này thôi" cho một thay đổi nhỏ. Thay đổi nhỏ đó thêm một không có kiểm tra phân quyền. Không có gì xảy ra trong một thời gian, vì "không có gì xảy ra" chính xác là hình dạng của một lỗ hổng bảo mật nhìn từ bên trong.
Đây là sự tự mãn khi tự động hóa nhắm vào bảo mật, và nó tệ hơn ở đây so với bất cứ đâu khác, vì các thất bại về bảo mật diễn ra âm thầm và có độ trễ. Một tính năng bị hỏng trừng phạt bạn trong vài phút. Một kiểm tra quyền bị hỏng thưởng cho bạn thành công bề ngoài cho đến tận khi vụ vi phạm xảy ra. Sự vắng mặt của thảm họa không phải là bằng chứng của sự an toàn — đó là tình trạng bình thường của một ứng dụng dễ bị tấn công mà đơn giản là chưa bị phát hiện.
Cách phòng vệ là làm cho cổng soát này đủ rẻ để bạn không bỏ qua nó và đủ tự động để bạn không thể bỏ qua nó. Hãy đặt việc quét và audit vào để chúng chạy mà không cần bạn nhớ, và giữ prompt kẻ tấn công sẵn sàng cho bất cứ thứ gì chạm vào xác thực, dữ liệu, hoặc tải file lên. Hãy giữ vững một nguyên tắc: một thay đổi xử lý dữ liệu người dùng hoặc quyền hạn không được phát hành cho đến khi ai đó — bạn, với sự trợ giúp trung thực của AI — đã chủ động cố gắng phá vỡ nó. Tốc độ trong vibe coding đến từ những cổng soát tốt, không phải từ việc tin tưởng rằng sự im lặng nghĩa là mọi thứ đều ổn.