Mới gần đây có cộng đồng công nghệ trên X nháo nhào vì Cal chấm com (một phần mềm mã nguồn mở giúp mọi người đặt lịch hẹn) đăng một bài gây shock với câu "Open source is dead" (mã nguồn mở đã c.h.e.t). Ngắn gọn thì đội ngũ đó thấy rằng hiện tại có nhiều kẻ xấu tận dụng AI để quét các dự án mã nguồn mở, dò lỗ hổng rồi tấn công vào hạ tầng của dự án đó; vì thế họ quyết định là sẽ tách ra một dự án mã nguồn mở riêng còn sản phẩm trên hạ tầng của họ thì sẽ đóng mã nguồn để họ dùng AI quét nội bộ. Tớ suy nghĩ thì một doanh nghiệp có quyền lựa chọn họ muốn mở mã nguồn hay không, cái này tớ không phản đối, kế hoạch kinh doanh là do họ lựa chọn. Nhưng nếu lên bài khẳng định mã nguồn mở đã c.h.e.t thì tớ thấy lý do bảo mật cực kỳ củ chuối. Với những anh em làm trong ngành tài sản mã hoá thì sẽ thấy phần lớn các dự án đề có mã nguồn mở, vì thế tớ muốn viết bài này để suy ngẫm và phân tích tác động của AI vào cái văn hoá mã nguồn mở cốt lõi của ngành.
Đầu tiên, chúng ta sẽ nhìn vào góc độ bảo mật mà không chỉ Cal mà nhiều người cũng đề cập đến. Nếu bạn đóng mã nguồn (smart contract, giao diện, server) của bạn, thì kẻ xấu sẽ phải tìm cách moi được mã nguồn của bạn thì mới dùng AI để quét và tìm cách tấn công được; còn nếu mã nguồn bạn mở thì cứ lôi AI vào mà quét thôi. Trên thực tế, kẻ xấu vẫn sẽ có những phương án để moi được mã nguồn, chẳng hạn như là sử dụng chiêu trò tuyển dụng rồi cài mã độc vào máy của nhân sự bạn, hoặc là hối lộ nhân sự của bạn, khó hơn thì phải decompile/mò mẫm mã nguồn (tuỳ trường hợp) rồi suy luận. Con người thường là mắt xích yếu nhất. Gần đây tớ cũng thấy rất nhiều người đang bị kẻ xấu lừa tham gia các cuộc gọi rồi lừa cài mã độc vào thiết bị, sau đó lại đi gieo rắc mã độc tiếp. Gần đây chúng ta còn thấy nhân sự kỹ thuật của Drift cũng không cẩn thận, chạy phần mềm và cài ứng dụng lạ của kẻ xấu sau khi bị lừa. Nên căn bản là bạn chỉ đang "mua" thêm thời gian trước khi kẻ xấu lần mò được lỗ hổng của bạn. Ngoài smart contract, giao diện và server của bạn cũng có thể bị AI "quét", xem có những lỗ hổng thông dụng hay không thì tấn công vào; cái này thì trước khi có AI thì các hacker mũ đen cũng đã có công cụ quét tự động rồi nên không phải là mới xuất hiện do AI. Thực sự chỉ smart contract mới là mối lo lớn nhất, nhưng hiện tại chúng ta đã thấy nhiều đội ngũ đã tận dùng nhiều AI model và framework để tự quét và sửa; rồi có một số bên cung cấp dịch vụ với AI model chuyên biệt nữa. Sau khi bạn đã triển khai smart contract lên mạng blockchain thì có đóng mã nguồn hay mở mã nguồn thì cũng từ từ bị mò ra thôi. Nên bạn đã phải thiết kế smart contract đàng hoàng từ ban đầu rồi. Dẫn chứng là nhiều giao thức mã nguồn đóng vẫn bị hack như thường, như là Aperture Finance và SwapNet (dẫn chứng 2) Tiếp theo, chúng ta sẽ nhìn vào mặt kinh doanh nếu bạn đóng mã nguồn. Bạn đóng mã nguồn thì đối thủ sẽ không thể cóp và triển khai một sản phẩm tương tự. Tuy nhiên, đối thủ của bạn vẫn có thể dựa vào cách giao diện của bạn tương tác với smart contract, và một số công cụ decompile để có thể mò ra được cái cách mà smart contract bạn hoạt động rồi tự viết lại một cái có hành vi tương tự. Với khả năng của AI hiện tại thì việc này phải nói là dễ, nhiều khi còn không phải mò mẫm gì, cứ nói AI viết theo mô tả thôi, có thể sẽ không có mã nguồn tối ưu như bạn, nhưng vẫn sẽ có thể đạt được những chức năng tương đương. Cái này không chỉ là đối với smart contract, mà còn giao diện và những chức năng trên server, AI hiện tại gần như có thể viết theo mô tả của bạn mà vẫn ra được, và còn nhanh nữa. Giấu mã nguồn thì bạn chỉ đang kéo dài thời gian ra thôi, nhưng ông nào quyết tâm trỏ vài con agent vào ngồi cóp lại thì vẫn sẽ ra, chất lượng tuy chưa thể kết luận sớm nhưng vẫn có thể ra được đối thủ của bạn dễ dàng. Thêm nữa, khi bạn để mã nguồn mở, nhiều khi bạn sẽ có những khách hàng sẽ cóp mã nguồn của bạn, viết thêm một cái tính năng họ cần rồi đóng góp ngược lại. Câu chuyện license cho mã nguồn mở thì khá phức tạp, nhưng hiện tại anh em trong ngành tài sản mã hoá hay kháo nhau là nên dùng copyleft thay vì mấy license như MIT. Mục đích chính là để ràng buộc những người dùng mã nguồn mở của bạn phải tiếp tục mở mã nguồn của họ để tiếp tục chia sẻ (có thể đọc thêm bài viết của Vitalik bên dưới).
Cuối cùng, về phương diện văn hoá của ngành tài sản mã hoá, khi bạn mở mã nguồn thì bạn sẽ ít nhất thoả mãn được yêu cầu tối thiểu của một loạt các maxi, cypherpunk trong ngành. Những người có thể hiện tại đang cầm kha khá tài sản onchain. Họ là những người thường chú trọng sử dụng những sản phẩm mà họ "cảm thấy" hợp. Mã nguồn của bạn mở thì họ có thể đọc và kiểm tra sản phẩm của bạn có đúng như bạn nói hay không. Bạn sẽ có được niềm tin của họ để sử dụng. Ngành tài sản mã hoá nó hay tuân thủ quy luật 80-20, 80% doanh thu của bạn sẽ đến từ 20% số lượng khách hàng, và ngược lại. Con số 20% đó là những người dùng nâng cao (không phải người mới). Cũng dễ hiểu thôi, người ta am hiểu, dùng nhiều thì mới có nhiều nhu cầu sử dụng sản phẩm của bạn. Nếu bạn chỉ tập trung vào cung cấp sản phẩm cho người mới thì mình nghĩ bạn phải là một công ty đã có doanh thu dồi dào rồi mới nên nghĩ vào ngạch này, chứ tớ thấy đội nào nhắm vào tệp khách này cũng chua lắm. Ok, nói đến đây thì thể nào cũng có mấy ông sẽ nói mấy trường hợp như Hyperliquid, hay mấy giao thức bên Solana thường hay đóng mã nguồn, nhưng mà họ cũng kiếm được doanh thu khủng. Ờ thì trong mấy trăm trường hợp toàn ngành thì cũng sẽ có vài ngoại lệ chứ. Hiện tại Ethereum vẫn là ông vua của thanh khoản, những giao thức lớn nhất của Ethereum hiện tại vẫn là mã nguồn mở (có một lũ BUSL là mã nguồn nhìn được nhưng có hạn chế nếu bạn cóp nó).
Chốt lại thì tuỳ builder, tuỳ doanh nghiệp, tuỳ chiến thuật kinh doanh. Tớ cũng không muốn chọt vào quyết địch của mọi người. Chỉ mong đừng lên mạng xã hội chém một câu xanh rờn "Mã nguồn mở c.h.e.t rồi" thì tớ sẽ phải vào bình luận phản bác thôi.