Bài điều tra về Polsia: Huy động 30 triệu USD dựa trên ARR giả mạo, lộ source map và sự thật về AI "tự chủ"

Startup Polsia gần đây đã gây tiếng vang lớn khi huy động thành công 30 triệu USD cho vòng gọi vốn, với tuyên bố đầy tham vọng về một nền tảng AI có thể tự động tạo lập và vận hành các công ty mà không cần nhân sự. Tuy nhiên, đằng sau những con số hào nhoáng và các chiến dịch marketing rầm rộ, một cuộc điều tra kỹ thuật kỹ lưỡng đã vạch trần bức tranh thực tế đáng báo động: từ những chỉ số tài chính bị thổi phồng, sự phụ thuộc hoàn toàn vào mô hình của bên thứ ba, cho đến những lỗ hổng bảo mật nghiêm trọng khiến dữ liệu người dùng bị phơi bày.

ARR "ảo" và cái bẫy định giá startup

Điểm nhấn của vòng gọi vốn này là con số ARR (Doanh thu định kỳ hàng năm) được tuyên bố là 9,7 triệu USD. Tuy nhiên, khi bóc tách dữ liệu từ snapshot ngày 22/05/2026 của chính Polsia, bức tranh tài chính trông hoàn toàn khác biệt.

Phân tích ARR của Polsia

Thực tế, con số 9,7 triệu USD này là sự cộng dồn của nhiều yếu tố không mang tính định kỳ thực sự. Nó bao gồm:

• Gói đăng ký (Subscriptions): 4,64 triệu USD (chiếm 47,8%).
• Chi tiêu quảng cáo (Ad-spend pass-through): 1,93 triệu USD (19,9%) — đây thực chất chỉ là dòng tiền đi qua để mua quảng cáo, không phải doanh thu của công ty.
• Các gói one-off và "boosts": Các khoản thu nhập một lần không đảm bảo sẽ lặp lại vào năm sau.

Điều đáng lo ngại hơn là tỷ lệ rời bỏ khách hàng (churn rate) cực cao, khoảng 48% mỗi tháng. Với tốc độ này, phần lớn cơ sở khách hàng sẽ biến mất trước khi kết thúc năm, nghĩa là "doanh thu định kỳ" thực tế gần như bằng không. Hơn nữa, chi phí tính toán cho AI (compute) ăn mất khoảng 57% của mỗi đồng doanh thu đăng ký, khiến dòng tiền từ hoạt động kinh doanh cốt lõi này trở nên lỗ nặng sau khi trừ đi chi phí vận hành và đội ngũ con người.

Lộ source map: AI "tự chủ" hay con người điều khiển?

Một trong những sai lầm kỹ thuật nghiêm trọng nhất của Polsia là việc vô tình công bố source map (bản đồ mã nguồn) của phiên bản production lên web. Từ dữ liệu này, các chuyên gia đã tái cấu trúc lại toàn bộ giao diện nội bộ của hệ thống gồm 1.355 module.

Giao diện Admin và sự tham gia của con người

Thay vì một hệ thống "không nhân viên" (zero-employee) như quảng cáo, mã nguồn cho thấy sự hiện diện dày đặc của con người:

• Hệ thống QA thủ công: Có một hệ thống chấm điểm (agent_run_score_labels) nơi con người sẽ thẩm định và chấm điểm các kết quả mà AI tạo ra. Việc xây dựng bảng đồng thuận (inter-rater agreement panel) là bằng chứng rõ ràng cho thấy có đội ngũ con người đang sửa lỗi cho AI.
• "God-mode" (Chế độ thần): Lớp quản trị của Polsia giữ quyền truy cập tuyệt đối (override) trên mọi công ty được tạo ra trên nền tảng. Họ có thể mạo danh tài khoản, chạy câu lệnh SQL trực tiếp trên production, hay tạm dừng hoạt động của bất kỳ công ty nào bất cứ lúc nào. Điều này có nghĩa là dù bạn "sở hữu" công ty đó trên giấy tờ, nút tắt nguồn thực sự lại nằm trong tay Polsia.
• Không có công nghệ độc quyền: Phần "trí tuệ" của hệ thống thực chất chỉ là một giao diện web kết nối tới Claude trên AWS Bedrock. Đây là mô hình có sẵn mà bất kỳ ai cũng có thể thuê, cho thấy "lợi thế cạnh tranh" công nghệ của Polsia là rất mong manh.

Lỗ hổng bảo mật và những công ty "không lãi"

Cuộc điều tra còn chỉ ra những lỗ hổng bảo mật nghiêm trọng ảnh hưởng trực tiếp đến người dùng. Đối với 16 công ty mẫu được Polsia tung ra làm bằng chứng (showcase), một endpoint công khai đã lộ thông tin riêng tư (PII) của chủ sở hữu, bao gồm tên thật, Twitter handle, và chi tiết tài chính mà không cần bất kỳ xác thực nào.

Ngoài ra, kiểm tra thực tế cho thấy tỷ lệ hoạt động cực thấp. Chỉ khoảng 6,3% trong số hơn 118.000 công ty được tạo ra là hoạt động (active). Đáng chú ý, các công ty trong "quỹ đầu tư" của Polsia đều báo cáo doanh thu bằng 0 USD. Lý do cấu trúc nằm ở việc các trang web này (đuôi *.polsia.app) chỉ là giao diện hiển thị (HTTP 200) nhưng hoàn toàn thiếu tính năng thanh toán hay tích hợp Stripe để nhận tiền.

Kết luận

Câu chuyện của Polsia là một ví dụ điển hình về việc bong bóng AI đang bị thổi phồng quá mức. Từ một lời hứa hẹn về tự động hóa hoàn toàn, thực tế lại là một hệ thống tốn kém, phụ thuộc vào nhân công giá rẻ để sửa lỗi AI, và sử dụng các chỉ số tài chính sáng tạo (creative accounting) để che đậy sự thiếu bền vững của mô hình kinh doanh. Đối với các nhà đầu tư và người dùng technolog, bài học lớn ở đây là luôn cần nhìn sâu vào "bức bếp" (technical due diligence) trước khi tin vào những bữa tiệc marketing hoành tráng.