Một nghiên cứu của Sonatype cho thấy việc giao cho mô hình AI xử lý các quyết định liên quan đến dependency trong phát triển phần mềm vẫn tiềm ẩn nhiều rủi ro. Theo công ty này, không ít mô hình tiếp tục đưa ra khuyến nghị nâng cấp sai, làm tăng chi phí xử lý, tiêu tốn thời gian của lập trình viên và có thể khiến doanh nghiệp bỏ sót lỗ hổng bảo mật.

Trong phát triển phần mềm, dependency là các thư viện hoặc gói bên ngoài mà chương trình cần sử dụng để vận hành.

Theo Dark Reading ngày 26/3/2026, Sonatype đã phân tích 36.870 khuyến nghị nâng cấp dependency được tạo ra từ 4 kho gói gồm Maven Central, npm, PyPI và NuGet trong giai đoạn từ tháng 6 đến tháng 8/2025. Nhóm nghiên cứu cũng rà soát tổng cộng 258.000 khuyến nghị do 7 mô hình AI của Anthropic, OpenAI và Google tạo ra.

Ở giai đoạn nghiên cứu đầu tiên, công bố vào tháng 2 năm nay, Sonatype xác định gần 28% khuyến nghị nâng cấp dependency do OpenAI GPT-5 đưa ra là “ảo giác”. Nói cách khác, AI đã đề xuất những phiên bản không tồn tại hoặc các lộ trình nâng cấp không có thật.

Trong báo cáo giai đoạn hai công bố tuần này, Sonatype tiếp tục đánh giá các mô hình mới với khả năng suy luận tốt hơn, gồm GPT-5.2, Anthropic Claude Sonnet 3.7 và 4.5, Claude Opus 4.6, cùng Google Gemini 2.5 Pro và 3 Pro. Dù kết quả đã cải thiện so với các phiên bản trước, tỷ lệ khuyến nghị sai và hiện tượng “ảo giác” vẫn ở mức đáng kể.

Theo Sonatype, những sai lệch này không chỉ làm tăng chi phí sử dụng AI mà còn kéo dài thời gian xử lý của đội ngũ phát triển, làm gia tăng nguy cơ bỏ sót lỗ hổng và tạo thêm nợ kỹ thuật trước khi mã nguồn được triển khai vào môi trường vận hành.

Công ty cho rằng vấn đề cốt lõi không nằm ở khả năng suy luận của mô hình, mà ở việc thiếu dữ liệu thời gian thực. Các mô hình AI hiện không nắm được đầy đủ thông tin cập nhật về dependency, lỗ hổng, khả năng tương thích và chính sách nội bộ của doanh nghiệp để đưa ra quyết định vá lỗi an toàn.

Brian Fox, đồng sáng lập kiêm Giám đốc Công nghệ của Sonatype, cho biết tình huống nguy hiểm nhất không phải là khi AI trả lời sai một cách rõ ràng, mà là khi nó đưa ra câu trả lời “có vẻ hợp lý” nhưng vẫn tiềm ẩn rủi ro, khiến người dùng bỏ lỡ phương án nâng cấp phù hợp hơn.