AI Đang Viết Infrastructure Code Nhanh Hơn — Nhưng Ai Kiểm Soát?
Tốc Độ Có, Nhưng Kiểm Soát Thì Chưa
Mở ChatGPT hoặc Claude, gõ "tạo Terraform module quản lý EKS cluster với 3 node group, auto-scaling, IRSA và VPC đã có sẵn". Trong 30 giây bạn có một file .tf 200 dòng, sẵn sàng để apply.
Nghe có vẻ như tiến bộ. Và đúng là tiến bộ thật. Nhưng có một vấn đề nghiêm trọng đang bị bỏ qua: tốc độ viết code tăng vọt, nhưng khả năng hiểu và kiểm soát không theo kịp.
IaC Trước và Sau AI
Trước đây, Infrastructure as Code (IaC) có một giả định ngầm: người viết code hiểu code đó làm gì. Quy trình thường là:
- Đọc tài liệu Terraform/CloudFormation/CDK
- Viết code thủ công, thử nghiệm trên sandbox
- Code review bởi team
- Deploy qua pipeline có policy check
Quy trình này chậm, nhưng mỗi người trong pipeline đều có context — họ hiểu dependency, constraint, và failure mode của hệ thống.
Khi AI tham gia, mọi thứ đảo lộn. Code được tạo ra (generated) thay vì viết ra (authored). Bạn không cần biết syntax để có một file Terraform 200 dòng. Rào cản kỹ thuật giảm xuống gần bằng 0.
Đây là con dao hai lưỡi.
Vấn Đề Không Phải AI Sai — Mà Là Con Người Không Kịp Hiểu
AI có thể tạo code chạy được. Nhưng infrastructure code khác code ứng dụng ở một điểm mấu chốt: hậu quả của sai lầm.
Push code app sai → rollback, mất vài phút. Apply Terraform sai → xoá database production, mất dữ liệu thật.
Điều đáng lo không phải AI "gây ra lỗi". Mà là AI cho phép thay đổi được thực hiện nhanh hơn khả năng kiểm soát của tổ chức. Theo bài phân tích trên DevOps.com (tháng 5/2026), khoảng cách này đang ngày càng rộng.
Ba Lỗ Hổng Chính
1. Mất Context Ngầm
Khi viết code thủ công, kỹ sư tích luỹ hiểu biết ngầm về:
- Dependency giữa các tài nguyên
- Ràng buộc bảo mật và compliance
- Cách hệ thống fail và phục hồi
Khi AI tạo code, lớp hiểu biết này không còn được đảm bảo. Bạn có thể có một hệ thống được tạo ra chính xác, nhưng không ai thực sự hiểu nó.
2. Pipeline Bỏ Qua
AI khiến việc "đi tắt" trở nên quá dễ. Thay vì qua pipeline review → validate → deploy, người ta có xu hướng:
- Mở AI chat
- Lấy code
- Copy-paste vào console hoặc chạy local
Mô hình code-review truyền thống dựa trên giả định "viết code là phần khó nhất". Giờ phần đó gần như miễn phí, nhưng phần review thì vẫn cần con người — và không theo kịp.
3. Ảo Tưởng "Code Đúng = An Toàn"
Code Terraform hợp lệ ≠ infrastructure an toàn. Một EKS cluster "đúng cú pháp" vẫn có thể:
- Expose API server ra public internet
- Thiếu encryption at rest
- Không có network policy
- Dùng instance type không phù hợp workload
AI không biết context kinh doanh, chính sách bảo mật, hay budget constraint của tổ chức bạn.
Platform Engineering Là Lời Giải?
Một hướng tiếp cận đang nổi lên: thay vì cấm AI, hãy nhúng AI vào platform có sẵn policy check.
Docker gần đây ra mắt Docker AI Governance (tháng 5/2026). Công cụ này kiểm soát tập trung cách AI agent thực thi, network nào được phép truy cập, credential nào được dùng. Gordon — AI agent mới của Docker — có thể đề xuất thay đổi, nhưng không tự động apply nếu chưa qua phê duyệt.
Đây là mô hình đúng: AI tăng tốc độ viết code, platform đảm bảo kiểm soát.
Cũng có ý kiến cho rằng AI tự nó đang cải thiện khả năng review — các công cụ như CodeRabbit hay Amazon Q có thể tự động kiểm tra policy và bảo mật. Điều này đúng một phần: AI review đang tiến bộ nhanh. Nhưng với infrastructure — nơi một dòng code sai có thể xoá toàn bộ database — việc để con người phê duyệt cuối cùng vẫn là lá chắn cần thiết.
Một số nguyên tắc áp dụng ngay:
- IaC testing tự động: Dùng
terraform plan+ policy as code (OPA, Sentinel) trong CI/CD trước khi merge - Review bắt buộc: AI-generated code phải qua review người, không ngoại lệ
- Sandbox trước production: Mọi thay đổi infrastructure phải test trên môi trường staging
- Audit trail: Ghi log ai tạo code, ai review, ai approve — truy vết được khi có sự cố
- Không auto-apply: Tuyệt đối không để AI agent tự động
terraform applylên production
Góc Nhìn Cá Nhân
Dùng AI hàng ngày để viết Terraform và CloudFormation giúp tiết kiệm hàng giờ tìm syntax và boilerplate. Nhưng có một nguyên tắc: không bao giờ apply code mà chưa hiểu từng dòng.
AI là công cụ tăng tốc, không phải người chịu trách nhiệm. Khi production sập lúc 3 giờ sáng, người được gọi dậy không phải ChatGPT — mà là kỹ sư trực ca.
Khoảng cách giữa tốc độ và kiểm soát sẽ còn rộng thêm. Platform engineering, policy as code, và văn hoá review nghiêm túc là cách duy nhất để không bị "chạy nhanh quá ngã".
Tham khảo:
Related Posts
Terraform Cho Developer: IaC Không Khó Như Bạn Nghĩ
Bạn đã bao giờ click-click trên AWS Console rồi quên mất mình đã tạo gì? Terraform giải quyết chính xác vấn đề đó. Hướng dẫn từ zero cho developer.
Docker v29 Phá Vỡ Backward Compatibility: 3 Thay Đổi Lớn và Cách Migrate An Toàn
Docker Engine v29 chuyển containerd image store thành default, nâng minimum API version lên 1.44, và thêm nftables support. Đây là hướng dẫn migrate cho developer và DevOps.
Platform Engineering Là Gì? Tại Sao DevOps Chưa Đủ?
Platform Engineering không phải buzzword — nó là câu trả lời cho bài toán developer phải tự lo quá nhiều thứ bên cạnh việc viết code.