Bạn có thể ship một ứng dụng được code theo cảm tính đến khách hàng thực tế không? Đây là nơi có ranh giới.

Có, bạn có thể bán những ứng dụng được viết mã theo cảm tính cho khách hàng. Mọi người đang làm điều đó ngay bây giờ, một cách có lợi nhuận, và khách hàng rất hài lòng. Nhưng có một ranh giới giữa "được xây dựng với hỗ trợ của AI" và "được phát hành mà không hiểu điều gì bên trong" — và vượt qua ranh giới đó sẽ khiến bạn phải chịu rủi ro thực sự, mất khách hàng, và loại vi phạm dữ liệu có thể kết thúc sự nghiệp tự do của bạn.

Câu hỏi không phải liệu phần mềm được viết mã theo cảm tính có hợp pháp không. Nó có. Câu hỏi là bạn cần phải làm gì trước khi người khác phụ thuộc vào nó.

Lý do để phát hành công việc được viết mã theo cảm tính

Cuộc tranh luận về chất lượng đầu ra đã được giải quyết. Claude và Cursor tạo ra mã chất lượng sản xuất cho các mẫu tiêu chuẩn — ứng dụng CRUD, bảng điều khiển, trang đích, công cụ có nhiều biểu mẫu và trực quan hóa dữ liệu. Mã tuân theo các quy ước hiện đại, sử dụng các framework phổ biến một cách chính xác, và xử lý hầu hết các trường hợp đặc biệt. Đối với loại ứng dụng mà các doanh nghiệp nhỏ và công ty khởi nghiệp thực sự cần, mã do AI tạo ra thường tốt hơn những gì một lập trình viên cấp junior sẽ tạo ra, vì nó được rút ra từ hàng triệu ví dụ thay vì kinh nghiệm hạn chế.

Kinh tế học cũng rõ ràng. Một người viết mã theo cảm tính có thể cung cấp MVP hoạt động trong vài ngày thay vì vài tuần. Khách hàng chi trả ít hơn, nhận được sản phẩm của họ nhanh hơn, và có thể bắt đầu xác thực ý tưởng của họ trước khi cam kết xây dựng lớn hơn. Mọi người đều thắng — miễn là sản phẩm thực sự hoạt động và không rò rỉ dữ liệu người dùng.

Nhóm Y Combinator Winter 2025 báo cáo 25% các công ty khởi nghiệp tham gia có cơ sở mã được tạo bởi AI từ 95%+ trở lên. Những công ty này huy động vốn, phát hành cho người dùng thực, và xử lý các giao dịch thực. Nếu các công ty được YC hỗ trợ có thể chạy trên phần mềm được viết mã theo cảm tính, một ứng dụng đặt phòng cho doanh nghiệp nhỏ hoặc bảng điều khiển nội bộ hoàn toàn có thể đạt được.

Nơi nó trở nên nguy hiểm

Những vấn đề bắt đầu khi những người viết mã theo cảm tính coi đầu ra của AI là hoàn thiện thay vì là bản nháp đầu tiên cần xem xét.

Bảo mật là rủi ro lớn nhất. Mã do AI tạo ra liên tục được phát hành với các khóa API bị lộ, kiểm soát truy cập cơ sở dữ liệu bị thiếu, không xác thực đầu vào, và các tuyến API không được bảo vệ. Đối với một dự án cá nhân, đây là những phiền toái. Đối với một ứng dụng khách hàng xử lý dữ liệu khách hàng, chúng là những vi phạm tiềm ẩn của các quy định bảo vệ dữ liệu và lý do để kiện tụng. Một khách hàng có cơ sở dữ liệu khách hàng bị rò rỉ vì bạn phát hành một ứng dụng không có Row-Level Security sẽ không quan tâm rằng bạn "không biết" — họ sẽ quan tâm rằng dữ liệu của khách hàng của họ là công khai.

Các trường hợp đặc biệt phá vỡ niềm tin. AI xử lý tốt con đường hạnh phúc. Biểu mẫu đăng nhập hoạt động. Tìm kiếm trả về kết quả. Nhưng điều gì xảy ra khi ai đó gửi biểu mẫu mà không có dữ liệu? Khi hai người dùng chỉnh sửa cùng một bản ghi cùng lúc? Khi API thanh toán trả về lỗi? Những trường hợp đặc biệt này là nơi mã do AI tạo ra sụp đổ, và chúng chính xác là các kịch bản mà người dùng thực tế gặp phải trong tuần đầu tiên.

Bảo trì trở thành vấn đề của bạn. Khi bạn phát hành mã bạn không viết và không hoàn toàn hiểu, mỗi báo cáo lỗi trở thành một dự án nghiên cứu. Khách hàng không biết hoặc quan tâm rằng AI đã viết mã — họ trả tiền cho bạn để giữ nó hoạt động. Nếu bạn không thể gỡ lỗi nó nhanh chóng, bạn sẽ mất khách hàng và danh tiếng của bạn.

Lập luận phản đối trung thực

Phát triển phần mềm truyền thống có những vấn đề tương tự, chỉ với tốc độ khác nhau. Các nhà phát triển liên tục phát hành mã không an toàn — Danh sách Top 10 của OWASP về các lỗ hổng chưa thay đổi nhiều trong một thập kỷ chính vì con người liên tục mắc phải những lỗi bảo mật tương tự. Sự khác biệt với viết mã theo cảm tính không phải là những vấn đề này mới — mà là những người không phải nhà phát triển hiện đang phát hành mã mà không có nền tảng để nhận ra những vấn đề.

Và thành thật mà nói? Nền tảng đó có thể được tiếp thu nhanh hơn mọi người nghĩ. Bạn không cần bằng cấp CS để tìm hiểu Row-Level Security là gì, tại sao xác thực đầu vào lại quan trọng, hoặc cách các biến môi trường hoạt động. Bạn cần một danh sách kiểm tra, một buổi chiều, và sự sẵn sàng học hỏi. Rào cản không phải là kiến thức — mà là nhận thức rằng rào cản tồn tại.

Các nhà phát triển chỉ trích phần mềm được viết mã theo cảm tính trên X thường bỏ qua mức độ mã của chính họ hiện tại về mặt chức năng, được tạo bởi AI. 92% các nhà phát triển Mỹ sử dụng các công cụ mã hóa AI hàng ngày. Ranh giới giữa "được viết mã theo cảm tính" và "được phát triển chuyên nghiệp với hỗ trợ AI" chủ yếu là về các thực hành xem xét, không phải là về người bắt đầu mã.

Những gì bạn cần làm trước khi phát hành cho khách hàng

Đây là khung công tác cụ thể để phát hành công việc được viết mã theo cảm tính một cách chuyên nghiệp:

Chạy danh sách kiểm tra bảo mật. Không tuỳ chọn. Bao gồm các biến môi trường, kiểm soát truy cập cơ sở dữ liệu, xác thực đầu vào, xác thực, và giới hạn tốc độ. Chúng tôi xuất bản hướng dẫn bảo mật từng bước hoàn chỉnh dành riêng cho các ứng dụng được viết mã theo cảm tính — hãy tuân theo nó trước mỗi giao hàng cho khách hàng.

Kiểm tra các trường hợp đặc biệt chính bạn. Trước khi khách hàng nhìn thấy ứng dụng, hãy cố gắng phá vỡ nó. Gửi các biểu mẫu trống. Nhập các ký tự đặc biệt. Mở ứng dụng trong hai tab trình duyệt và thực hiện các hành động mâu thuẫn. Kiểm tra trên di động. Kiểm tra trên kết nối chậm. Dành 30 phút để tích cực cố gắng làm cho nó thất bại.

Đọc mã bạn đang phát hành. Bạn không cần hiểu mọi dòng. Nhưng bạn nên hiểu kiến trúc — cách dữ liệu chảy từ frontend đến backend đến cơ sở dữ liệu. Nếu bạn không thể giải thích luồng dữ liệu trong hai câu, bạn không hiểu sản phẩm của riêng mình đủ để hỗ trợ nó.

Xác định trách nhiệm pháp lý của bạn. Sử dụng hợp đồng rõ ràng định nghĩa những gì bạn đang cung cấp, "bảo trì" bao gồm những gì, và giới hạn của trách nhiệm của bạn. Bao gồm một mệnh đề về xử lý dữ liệu và chỉ định rằng khách hàng chịu trách nhiệm tuân thủ các quy định về quyền riêng tư của họ (GDPR, CCPA, v.v.). Đây không phải để tránh trách nhiệm — đây là về việc thiết lập các kỳ vọng trung thực.

Biết khi nào cần mang theo chuyên gia. Nếu ứng dụng xử lý thanh toán, dữ liệu sức khỏe, thông tin tài chính hoặc bất kỳ thông tin nhận dạng cá nhân nào ngoài các hồ sơ cơ bản, hãy nhận được xem xét bảo mật từ ai đó có kinh nghiệm. Điều này có giá từ $500–2.000 cho một ứng dụng nhỏ và đáng giá mọi xu. Bạn không cần kiểm toán đầy đủ — bạn cần ai đó có thể phát hiện các lỗ hổng quan trọng mà bạn sẽ bỏ lỡ.

Thiết lập giám sát. Sau khi triển khai, sử dụng dịch vụ theo dõi lỗi cơ bản (tiers miễn phí của Sentry hoạt động) để bạn biết khi nào có điều gì đó bị hỏng trước khi khách hàng của bạn nói cho bạn. Thiết lập giám sát thời gian hoạt động (UptimeRobot, miễn phí) để bạn biết nếu trang web không hoạt động. Những điều này mất 15 phút để cấu hình và tiết kiệm bạn khỏi trông không đủ năng lực.

Ranh giới, được nêu đơn giản

Phát hành các ứng dụng được viết mã theo cảm tính cho khách hàng khi ứng dụng xử lý dữ liệu không nhạy cảm, bạn đã chạy danh sách kiểm tra bảo mật, bạn đã kiểm tra các trường hợp đặc biệt, và bạn có thể giải thích luồng dữ liệu. Tạm dừng và nhận xem xét chuyên gia khi ứng dụng xử lý thanh toán, dữ liệu sức khỏe hoặc thông tin cá nhân nhạy cảm — chi phí xem xét nhỏ so với chi phí vi phạm.

Các nhà phát triển đang xây dựng các doanh nghiệp tự do thành công với viết mã theo cảm tính không phải là những người bỏ qua bước xem xét. Họ là những người sử dụng AI để xây dựng nhanh hơn và sau đó dành thời gian tiết kiệm vào bảo mật, kiểm tra và đánh bóng — những thứ AI không tự động thực hiện.

Không chắc sử dụng công cụ AI nào cho lần xây dựng tiếp theo của bạn? Làm bài kiểm tra Bộ chọn mô hình AI 60 giây của chúng tôi hoặc kiểm tra so sánh Trạng thái của các mô hình AI đầy đủ.

Công khai: Một số liên kết trong bài viết này là liên kết liên kết. Chúng tôi chỉ khuyên bạn nên sử dụng các công cụ mà chúng tôi đã kiểm tra cá nhân và sử dụng thường xuyên. Xem chính sách công khai đầy đủ của chúng tôi.