Trí tuệ nhân tạo (AI) đang thay đổi căn bản cách phần mềm được phát triển. Từ trợ lý lập trình, sinh mã tự động đến các mô hình AI mã nguồn mở, AI đã trở thành một phần không thể thiếu trong quy trình DevSecOps hiện đại. Tuy nhiên, theo báo cáo Balancing AI Usage and Risk in 2025 – The Global State of DevSecOps của Black Duck, làn sóng AI này cũng đang tạo ra những rủi ro bảo mật quy mô lớn, khó kiểm soát nếu doanh nghiệp không có chiến lược phù hợp
DevSecOps đang nhanh hơn bao giờ hết, nhưng bảo mật lại tụt hậu
Khảo sát hơn 1.000 chuyên gia toàn cầu cho thấy gần 60% tổ chức triển khai code hàng ngày hoặc thậm chí nhiều lần mỗi ngày. Tuy nhiên, hơn 45% doanh nghiệp vẫn đưa mã nguồn vào kiểm thử bảo mật bằng quy trình thủ công và trên 61% chỉ kiểm thử dưới 60% tổng số ứng dụng của mình. Điều này dẫn đến một “khoản nợ bảo mật” ngày càng lớn, tích tụ qua mỗi lần phát hành phần mềm
Đáng lo ngại hơn, hơn 71% kết quả từ các công cụ kiểm thử bảo mật hiện nay bị đánh giá là “nhiễu” – bao gồm cảnh báo giả, trùng lặp hoặc mâu thuẫn giữa các công cụ. Tình trạng này khiến đội ngũ phát triển rơi vào “alert fatigue”, bỏ sót các lỗ hổng nghiêm trọng trong hàng nghìn cảnh báo ít giá trị
AI: Công cụ tăng tốc hay nguồn rủi ro mới?
Báo cáo chỉ ra một nghịch lý lớn: hơn 63% chuyên gia tin rằng AI giúp viết code an toàn hơn, nhưng đồng thời 56% thừa nhận AI cũng tạo ra các rủi ro bảo mật mới, đặc biệt là nguy cơ rò rỉ IP, vi phạm bản quyền mã nguồn mở và mở rộng lỗ hổng với tốc độ chưa từng có
Đặc biệt, hiện tượng “Shadow AI” – việc lập trình viên sử dụng công cụ AI mà không được kiểm soát – đang trở thành rủi ro nghiêm trọng. Gần 11% người tham gia khảo sát thừa nhận họ dùng AI coding assistant mà không có sự phê duyệt hoặc giám sát chính thức, khiến doanh nghiệp đối mặt với nguy cơ mất kiểm soát dữ liệu và tuân thủ pháp lý
Xu hướng tất yếu: Bảo mật phải gắn chặt vào workflow của lập trình viên
Khi được hỏi đâu là ưu tiên hàng đầu để cải thiện bảo mật ứng dụng trong 12 tháng tới, câu trả lời số một không phải là mua thêm công cụ, mà là tích hợp bảo mật sâu vào workflow phát triển phần mềm, đặc biệt trong IDE và CI/CD pipeline. Điều này cho thấy DevSecOps tương lai phải lấy lập trình viên làm trung tâm, biến bảo mật thành một phần tự nhiên của quá trình viết code, thay vì một rào cản ở giai đoạn cuối
Trong bối cảnh AI vừa là động lực tăng trưởng vừa là nguồn rủi ro, doanh nghiệp cần các giải pháp bảo mật ứng dụng toàn diện, có khả năng kiểm soát mã nguồn do con người viết, AI sinh ra và cả các thành phần mã nguồn mở đi kèm. ASIC Cybersecurity, với các giải pháp như Black Duck, IriusRisk, DAST và đào tạo lập trình an toàn, giúp doanh nghiệp chuyển từ phòng thủ bị động sang quản trị rủi ro chủ động, xây dựng DevSecOps bền vững trong kỷ nguyên AI.
Liên hệ ASIC Cybersecurity để được tư vấn chiến lược bảo mật ứng dụng và quản trị rủi ro AI, giúp doanh nghiệp tăng tốc đổi mới mà vẫn kiểm soát chặt chẽ an ninh và tuân thủ.
