AI coding giúp đội ngũ ship code nhanh hơn, nhưng nó cũng đang làm bài toán quản lý secret trở nên nguy hiểm hơn rất nhiều.
Trong tháng 3/2026, một loạt số liệu mới cho thấy cùng lúc hai xu hướng đang tăng mạnh: AI coding agent được đưa vào workflow hằng ngày, và số lượng secret bị lộ trên GitHub công khai tăng lên mức báo động. Đây không còn là chuyện “dev quên xóa API key” theo kiểu lẻ tẻ nữa. Nó đang trở thành một vấn đề quy trình.
Nếu anh em đang dùng Copilot, Claude Code, agent qua MCP hay bất kỳ workflow nào có bước sinh code tự động, thì bài toán cần nhìn không phải là “AI có nguy hiểm không”, mà là: AI đang đẩy nhanh tốc độ tạo ra credential, file cấu hình và bản nháp code nhanh hơn năng lực kiểm soát của team.
Con số đáng chú ý nhất: 28,65 triệu secret mới bị hardcode trong năm 2025
Theo báo cáo State of Secrets Sprawl 2026, có khoảng 28,65 triệu secret mới bị thêm vào các commit GitHub public trong năm 2025, tăng 34% theo năm. Đáng chú ý hơn, riêng nhóm AI service secrets tăng 81%. Nghĩa là secret gắn với API model, orchestration, RAG, vector store và các lớp tích hợp AI đang tăng nhanh hơn phần còn lại của hệ sinh thái.
Điểm quan trọng ở đây là secret không chỉ nằm trong source code chính. Nó nằm trong file cấu hình agent, file env test, prompt template, snippet debug, command-line arguments, tài liệu onboarding và cả tin nhắn nội bộ. Khi team thêm agent vào workflow, số nơi “tạm thời” có chứa credential tăng lên rất nhanh.
Vì sao AI coding làm bài toán tệ hơn?
1. Tốc độ tạo file và bản nháp tăng quá nhanh
Trước đây một dev phải tự viết integration, tự cấu hình SDK, tự nhớ bước auth. Bây giờ agent có thể sinh cả file config, CLI command, Docker compose, workflow YAML hoặc MCP server setup chỉ trong vài phút. Tốc độ này rất tiện, nhưng cũng khiến secret đi vào repo theo cách vô thức hơn.
Nói ngắn gọn: càng nhiều đoạn code và config được sinh ra theo kiểu “copy-run-fix”, xác suất một chuỗi bí mật lọt qua review càng cao.
2. Tài liệu quickstart thường tối ưu cho chạy được trước, an toàn tính sau
Một điểm rất đáng chú ý trong báo cáo là nhiều ví dụ MCP ngoài đời thực vẫn khuyến khích đặt API key trực tiếp vào config file hoặc command arguments. Khi ví dụ mặc định đã thiếu an toàn, AI agent sẽ học lại đúng pattern đó và tái tạo nó trong hàng loạt repo khác.
Đây là lý do nhiều team tưởng mình đang “tự động hóa theo best practice”, nhưng thực ra chỉ đang nhân bản một thói quen xấu ở quy mô lớn hơn.
3. AI không chịu trách nhiệm cuối cùng cho commit
AI có thể gợi ý, sinh code, thậm chí cảnh báo. Nhưng người bấm commit vẫn là con người. Báo cáo chỉ ra rằng các commit được hỗ trợ bởi Claude Code có tỷ lệ lộ secret khoảng 3,2%, trong khi baseline chung của GitHub public là 1,5%. Khoảng cách này không nhất thiết chứng minh một tool “tệ”, mà cho thấy quy trình hiện tại chưa theo kịp tốc độ của tool.
Khi deadline dí, dev thường có xu hướng ưu tiên “chạy được” hơn “sạch sẽ hoàn toàn”. AI chỉ làm quyết định đó diễn ra nhanh hơn.
MCP là điểm nóng mới của secret sprawl
Nếu 2025 là năm agent bùng nổ, thì 2026 là năm MCP đi vào vận hành thật. Vấn đề là MCP kết nối model với tool, file, API và service bên ngoài — tức nó đụng thẳng vào nơi credential xuất hiện.
Báo cáo nêu con số 24.008 secret duy nhất bị lộ trong các file cấu hình liên quan MCP trên GitHub public, trong đó có 2.117 credential hợp lệ. Đây là tín hiệu rất xấu, vì nó cho thấy secret không chỉ bị “tham chiếu nhầm”, mà có trường hợp còn đang sống và dùng được.
Khi một chuẩn mới trở nên phổ biến, cộng đồng thường ưu tiên ví dụ đơn giản nhất để onboarding. Nếu ví dụ đó dùng hardcoded credential, cả hệ sinh thái sẽ vô thức xem đó là bình thường. Với agent, sự lan truyền còn mạnh hơn vì chính AI sẽ nhắc lại pattern ấy trong lần generate kế tiếp.
GitHub bắt đầu vá ngay trong workflow agent
Ở chiều ngược lại, tín hiệu tích cực là platform cũng đã phản ứng. Theo cập nhật mới trên GitHub Blog, GitHub MCP Server đã hỗ trợ secret scanning ngay trong AI coding agent trước lúc commit hoặc mở pull request.
Ý nghĩa của thay đổi này khá lớn: thay vì đợi CI hoặc scanner chạy sau khi code đã vào repo, team có thể đẩy việc phát hiện secret lên sớm hơn, ngay trong vòng lặp viết code. Đây là kiểu guardrail hợp lý nhất cho thời đại agent — chặn ở nơi lỗi phát sinh, không chặn ở cuối đường ống.
Tuy vậy, cần nói thẳng: secret scanning không giải quyết được hết vấn đề. Nó chỉ bắt được thứ đã lộ ra trong thay đổi hiện tại. Nếu team vẫn tiếp tục dùng file config chứa plain text secret, tái sử dụng token quá rộng quyền hoặc copy credential qua Slack/Jira/Confluence, thì rủi ro vẫn còn nguyên.
5 việc dev team nên làm ngay
1. Coi file cấu hình agent là vùng nhạy cảm như source code production
Đừng xem mcp.json, .env.local, settings.json, workflow YAML hay prompt config là “file tạm”. Đây chính là nơi secret xuất hiện dày đặc nhất khi team thử nghiệm agent.
2. Bắt buộc pre-commit hoặc pre-PR scanning
Nếu đang dùng GitHub Advanced Security hoặc workflow tương đương, hãy bật secret scanning sớm nhất có thể. Mục tiêu là phát hiện trước lúc merge, tốt hơn nữa là trước lúc commit.
3. Không nhét secret vào ví dụ onboarding
Tài liệu nội bộ là nơi thói quen được chuẩn hóa. Nếu ví dụ “hello world” đã dùng API key hardcoded, sớm muộn gì repo thật cũng lặp lại y như vậy.
4. Tách credential theo môi trường và theo tác vụ
Agent dùng để đọc docs không cần quyền như agent có thể deploy. Token càng ngắn hạn, càng ít quyền, blast radius càng nhỏ khi bị lộ.
5. Review phần config và generated code riêng như một hạng mục bảo mật
Code review hiện nay thường tập trung vào logic. Với AI workflow, phần config, prompt, tool binding và env usage cũng cần checklist riêng. Nếu không, team sẽ review đúng phần ít rủi ro nhất và bỏ sót đúng phần dễ cháy nhất.
Điều cần nhớ: đây là vấn đề vận hành, không chỉ là vấn đề mô hình
Nhiều tranh luận hiện nay xoay quanh việc model nào an toàn hơn. Nhưng ở góc độ vận hành, thứ quyết định rủi ro thường không nằm ở model mà nằm ở cách team dùng model trong hệ thống thực tế: cấp tool gì, trỏ vào đâu, lưu credential thế nào, scan ở bước nào và ai chịu trách nhiệm cuối cùng.
Nói cách khác, AI coding không tự tạo ra secret sprawl, nhưng nó làm secret sprawl xảy ra nhanh hơn, rộng hơn và khó nhìn thấy hơn. Team nào xem đây chỉ là vấn đề “ý thức dev” thì sẽ phản ứng quá chậm.
Nếu đang xây workflow agent trong 2026, anh em nên coi secret hygiene là phần lõi của kiến trúc, không phải bước dọn dẹp sau cùng.
Kết luận
Làn sóng AI coding là thật, lợi ích năng suất cũng là thật. Nhưng đi kèm với nó là một sự thật khác: credential đang xuất hiện ở nhiều nơi hơn, theo nhiều đường hơn, với tốc độ nhanh hơn. Đó là lý do secret scanning, credential hygiene và quy tắc cấu hình an toàn phải đi vào workflow từ ngày đầu.
Muốn đi nhanh với agent mà không tự mở cửa cho rủi ro, câu hỏi đúng không phải “có nên dùng AI coding không”, mà là “guardrail nào phải được bật trước khi dùng ở quy mô đội nhóm?”.
Xem thêm các nội dung liên quan tại trang bài viết, kho công cụ và roadmap của blog.
Theo dõi Tý Tech trên Facebook để xem bản rút gọn và update nhanh mỗi ngày.
FAQ ngắn
AI coding có phải nguyên nhân trực tiếp làm lộ secret không?
Không hoàn toàn. Nó chủ yếu làm tăng tốc độ sinh code, config và workflow, khiến lỗi quản trị secret của con người dễ lọt vào repo hơn.
MCP có nguy hiểm không?
Bản thân chuẩn kết nối không “nguy hiểm”, nhưng cách đội ngũ cấu hình MCP có thể tạo ra vùng rủi ro mới nếu hardcode credential hoặc cấp quyền quá rộng.
Chỉ bật secret scanning là đủ chưa?
Chưa. Cần kết hợp secret scanning, token ngắn hạn, quyền tối thiểu, tách môi trường và review config/generated code như một hạng mục bảo mật riêng.
