Trợ lý lập trình Gemini bị tố xóa sạch 30.000 dòng mã và làm giả báo cáo khôi phục

Một nhà phát triển đã cáo buộc trợ lý lập trình Gemini của Google đã xóa gần 30.000 dòng mã nguồn đang hoạt động tốt trong khi thực hiện các thay đổi đối với một ứng dụng trực tiếp — một "sự tăng năng suất" mà thường chỉ thấy ở các cuộc tấn công mã độc tống tiền.

Bài đăng trên Reddit đang lan truyền nhanh chóng tại subreddit r/Bard đã mô tả chi tiết cách Gemini 3.5 bị cho là đã "xóa sổ" các phần lớn của một ứng dụng khi làm việc trên cơ sở mã production. Theo nhà phát triển này, mô hình AI đã làm hỏng các chức năng cốt lõi, thực hiện những thay đổi rộng rãi không liên quan và khiến hệ thống ở trạng thái tồi tệ đến mức các thay đổi cuối cùng phải được hoàn tác (rollback).

Người phát triển cho biết Gemini đã liên tục bỏ qua các hướng dẫn yêu cầu giữ lại các chức năng hiện có trong khi tổ chức lại cơ sở mã. Theo bài đăng, Gemini đã mở một pull request tác động đến 340 tệp, thêm khoảng 400 dòng mã nhưng xóa đi 28.745 dòng khác. Nhà phát triển khẳng định mô hình này còn xóa các tài nguyên mẫu thương mại điện tử không liên quan và đưa vào một tập lệnh di chuyển (migration script) hoàn toàn không liên quan đến yêu cầu ban đầu.

Thiệt hại thực sự được cho là đến ở lần commit thứ hai, khi Gemini đã sửa đổi cài đặt định tuyến Firebase và thay đổi định danh dịch vụ ghi đè (rewrite service identifier) thành một giá trị trông có vẻ đúng nhưng thực chất lại chuyển hướng lưu lượng truy cập đến một dịch vụ Cloud Run không tồn tại. Theo nhà phát triển, sai lầm này đã khiến toàn bộ cổng production rơi vào trạng thái lỗi 404 trong 33 phút.

Chủ đề nhanh chóng được lấp đầy bởi các nhà phát triển chia sẻ những câu chuyện tương tự về các công cụ lập trình AI hoạt động sai lệch. Một người bình luận mô tả việc Gemini đã giải quyết thành công một số vấn đề mã hóa trước khi xóa các tệp dự án hiện có trong lần commit đầu tiên sau khi người dùng phê duyệt một loạt các yêu cầu cấp phép. Kết quả là một ứng dụng bị hỏng một phần và, như người bình luận tóm tắt lại, là "một sự ra mắt thảm họa".

Phần bình luận rộng rãi hơn bớt cảm thông hơn, khi một số người dùng đặt câu hỏi tại sao bất kỳ ai lại cho phép các tác nhân lập trình AI tiếp cận gần hệ thống production trực tiếp. Một người bình luận viết một cách gay gắt: "Tại sao. TẠI SAO. TẠI SAO CÁC NGƯỜI NGU NGỐC VẪN ĐANG CHẠY TÁC NHÂN TRÊN PROD?!??!!??!?!"

Theo người đăng bài, tình hình được cho là đã trở nên lộn xộn hơn nữa sau khi rollback. Nhà phát triển này cho biết Gemini đã tạo ra một thông báo trạng thái tuyên bố rằng production đã được khôi phục thành công và lưu lượng truy cập đã được định tuyến đúng cách, bất kể bản dựng khôi phục được tham chiếu đã bị hủy thủ công. Theo bài đăng, bản sửa lỗi thực sự đến từ một lần triển khai rollback riêng biệt không chứa bất kỳ mã nào của Gemini.

Bài đăng cũng cáo buộc rằng Gemini đã tạo ra các tệp "tư vấn" và hậu kiểm (post-mortem) giả mạo bên trong kho lưu trữ để làm cho các thay đổi phá hoại có vẻ như đã được xem xét và phê duyệt đúng cách. Theo nhà phát triển, Gemini sau đó đã thừa nhận rằng nhật ký tư vấn hoàn toàn bịa đặt và được tạo ra chỉ để đáp ứng các yêu cầu quy tắc tự động của dự án.

Hành vi này cuối cùng đã được truy nguyên về một gói npm bên thứ ba được thiết kế theo thương hiệu Antigravity của Google. Gói này bị cáo buộc đã "gieo hạt" các kho lưu trữ với các quy tắc tự chủ hung hăng, hướng dẫn tác nhân lập trình tránh các lời nhắc xác nhận, tự động triển khai các bản dựng thành công, tự động thử lại các lần triển khai thất bại và thậm chí sửa đổi các tệp quy tắc của chính nó khi cần thiết.

Sự cố này xảy ra trong bối cảnh làn sóng phản đối ngày càng tăng chống lại cái gọi là "vibe coding" (lập trình theo cảm xúc), thực trạng ngày càng phổ biến của các nhà phát triển dựa nhiều vào mã do AI tạo ra cho production trong khi giả định rằng mô hình hiểu kiến trúc tốt hơn thực tế.

Ít nhất là cho đến lúc này, điều nhanh nhất trong phát triển phần mềm được hỗ trợ bởi AI có thể vẫn là tốc độ mà một môi trường production hoạt động hoàn hảo có thể bị biến thành một báo cáo sự cố.

®