5 Quy tắc IDE Quan trọng cho Lập Trình Viên AI Vibe

Phương pháp Vibe Coding giúp lập trình viên phát triển nhanh chóng nhờ AI như Cursor hay Claude Code tự động viết phần lớn mã nguồn. Tuy nhiên, tốc độ cũng tạo ra những "blindspot" – điểm mù khó nhận ra cho đến khi đưa vào sản xuất, không phải là lỗi cú pháp mà là các vấn đề về cấu trúc, bảo mật và tuân thủ.

Dưới đây là 5 quy tắc IDE thiết yếu giúp biến trợ lý AI thành một môi trường phát triển chuẩn, bao phủ toàn diện các lỗi tiềm ẩn từ Vibe Coding.

1. Linting — Giữ Mã Nguồn Sạch sẽ

Phát hiện: Biến không dùng, kiểu dữ liệu ngầm định any, mã không thể đến được, sử dụng API lỗi thời.

Tại sao cần: Mã do AI sinh ra thường có những import thừa, kiểu dữ liệu quá rộng, hoặc dùng các mẫu cũ không còn phù hợp. Linting đảm bảo trợ lý AI tuân thủ các quy chuẩn hiện đại.

Cách thiết lập (ESLint cho TypeScript):

npm init @eslint/config@latest

Quy tắc cho trợ lý AI:

• Sau khi chỉnh sửa file TS/JS, chạy npx eslint --fix trên các file thay đổi.
• Sửa hết các lỗi còn sót trước khi kết thúc task.
• Không được tắt cảnh báo ESLint trừ khi có sự đồng ý rõ ràng của người dùng.

2. Formatting — Thống nhất phong cách

Phát hiện: Thụt lề không đồng nhất, dấu nháy trộn lẫn, dấu phẩy cuối dòng không thống nhất, chiều dài dòng vượt giới hạn.

Tại sao cần: Khi nhanh chóng tạo lặp chức năng với AI, các đoạn code trả về thường khác biệt về định dạng. Prettier giúp tổng thể codebase trông đồng nhất như do cùng một lập trình viên viết.

Cách thiết lập:

npm install -D prettier
echo '{ "semi": true, "singleQuote": false, "trailingComma": "es5" }' > .prettierrc

Quy tắc cho trợ lý AI:

• Format tất cả file chỉnh sửa với Prettier trước khi hoàn tất task.
• Chạy lệnh npx prettier --write <files>
• Không được ghi đè cấu hình Prettier trong dự án bằng style inline.

3. Bảo mật — Phát hiện các lỗ hổng

Phát hiện: Các CVE đã biết trong phụ thuộc, mẫu bảo mật yếu, rò rỉ bí mật, gói lỗi thời có bản vá bảo mật.

Tại sao cần: Trợ lý AI không kiểm tra các gói mới thêm có lỗ hổng nghiêm trọng hay không, ví dụ một gói mới có thể vừa bị công bố CVE.

Cách thiết lập:

npm audit

Quy tắc cho trợ lý AI:

• Sau khi thêm hoặc cập nhật phụ thuộc, chạy npm audit và báo cáo lỗ hổng.
• Với các lỗi nghiêm trọng hoặc cao, đề xuất gói thay thế hoặc cách khắc phục.
• Không commit file .env, khóa API hay thông tin nhạy cảm.
• Nếu người dùng dán bí mật, cảnh báo và đề nghị sử dụng biến môi trường.

4. Tuân thủ quyền riêng tư — Không bàn giao mà không minh bạch

Phát hiện: SDK bên thứ ba thu thập dữ liệu mà không có chính sách quyền riêng tư, cookie không có banner đồng ý, analytics hoặc thanh toán không có tài liệu xử lý dữ liệu.

Tại sao cần: Đây là điểm mù lớn khi dùng AI viết code. Ví dụ bạn chỉ bảo "thêm Stripe", AI làm xong mà không nhắc bạn phải rõ ràng về xử lý dữ liệu thanh toán trong chính sách riêng tư. Còn nhiều SDK khác như analytics, auth, tracking cũng tương tự.

Cách thiết lập cho Cursor:

Tạo file .cursor/rules/pageguard.mdc với nội dung:

---
description: "Privacy and compliance scanning for web apps"
globs: ["package.json", "requirements.txt", "Gemfile", "go.mod", "pubspec.yaml"]
alwaysApply: false
---

# Privacy Compliance Check

Khi người dùng thêm các phụ thuộc thu thập dữ liệu người dùng (analytics, thanh toán, auth...):
1. Đánh dấu các tác động về quyền riêng tư
2. Liệt kê dữ liệu từng dịch vụ thu thập
3. Đề xuất chạy: npx pageguard
4. Ghi chú về việc cần chính sách quyền riêng tư hoặc banner cookie consent

Cách thiết lập cho Claude Code:

Thêm vào CLAUDE.md:

## Privacy Compliance

Khi chỉnh sửa file phụ thuộc, kiểm tra gói thêm có thu thập dữ liệu người dùng không.
Đánh dấu các SDK analytics, thanh toán, auth, theo dõi, quảng cáo.
Đề xuất chạy: npx pageguard

Công cụ pageguard giúp quét website nhanh, cho điểm về quyền riêng tư, bảo mật, hiệu năng, v.v., và cảnh báo các thiếu sót quan trọng.

5. Testing — Phát hiện lỗi hồi quy

Phát hiện: Chức năng bị hỏng sau chỉnh sửa, các trường hợp đặc biệt của logic nghiệp vụ, thay đổi giao diện API.

Tại sao cần: Mã AI viết dễ làm hỏng tính năng cũ khi thêm mới. Quy tắc testing bắt trợ lý AI viết và cập nhật test song song với code.

Cách thiết lập (Vitest):

npm install -D vitest

Quy tắc cho trợ lý AI:

• Khi thêm/sửa chức năng, viết/ cập nhật unit test phù hợp.
• Chạy npx vitest run để đảm bảo test pass.
• Nếu test fail, sửa code chứ không sửa test trừ khi test sai.
• File test để cạnh file nguồn: ví dụ component.tsx có test là component.test.tsx.

Kết hợp tất cả

Ưu điểm lớn của các quy tắc này là chúng được tích hợp tự động trong workflow AI, bạn không cần nhớ phải lint, format, audit, scan hay test thủ công. Trợ lý AI tự động thực hiện khi hoàn tất từng task.

Thiết lập tối thiểu cho Cursor (.cursor/rules/dev-workflow.mdc):

---
description: Development workflow rules
globs: ["**/*.ts", "**/*.tsx", "**/*.js", "**/*.jsx"]
alwaysApply: true
---

Sau khi hoàn thành task:
1. Chạy `npx eslint --fix` trên file thay đổi
2. Chạy `npx prettier --write` trên file thay đổi
3. Chạy `npm audit` nếu có thay đổi phụ thuộc
4. Kiểm tra tác động quyền riêng tư nếu thêm SDK mới (đề xuất npx pageguard)
5. Chạy `npx vitest run` nếu có test cho code thay đổi

Cho Claude Code (thêm vào CLAUDE.md):

## Development Workflow

Sau khi hoàn tất code:
1. Lint: npx eslint --fix file thay đổi
2. Format: npx prettier --write file thay đổi
3. Bảo mật: npm audit nếu thay đổi phụ thuộc
4. Tuân thủ: kiểm tra SDK thu thập dữ liệu, đề xuất npx pageguard
5. Test: npx vitest run nếu test có sẵn

---

Để bắt đầu, bạn chỉ cần chạy npx pageguard --init trong dự án. Công cụ sẽ tự động phát hiện IDE và gợi ý cài đặt quy tắc tuân thủ riêng tư. Trang web getpageguard.com cho phép bạn quét miễn phí website trong 30 giây, xem điểm tổng quan về bảo mật, quyền riêng tư và hiệu suất.

Ứng dụng thiết thực tại Việt Nam là các nhóm phát triển startup hoặc công ty phần mềm muốn tận dụng AI để tăng tốc độ viết code mà không đánh đổi chất lượng, bảo mật cũng như nghĩa vụ pháp lý liên quan đến dữ liệu người dùng.