- Đệ Tử Quy - sách dạy lễ nghi trẻ em thời Thanh - có 1080 chữ và 43 lần dùng "勿" (chớ).
- GitHub phân tích 2.500+ file cấu hình AI Agent và tìm thấy constraint phổ biến nhất cũng là một chữ "Never".
- Addy Osmani đề xuất hệ thống ba tầng Always / Ask first / Never để kiểm soát hành vi AI Agent hiệu quả hơn bất kỳ hướng dẫn tích cực nào.
TL;DR
Một cuốn sách dạy trẻ em thời nhà Thanh và một file cấu hình AI Agent năm 2026 dùng cùng một chiến lược: thay vì giải thích "nên làm gì", cả hai đều tập trung vào "tuyệt đối không được làm gì". Câu hỏi là tại sao chiến lược đó lại hiệu quả - và giới hạn của nó ở đâu.
43 chữ "đừng" của Đệ Tử Quy
Đệ Tử Quy (Di Zi Gui) là một cuốn sách dạy lễ nghi và đạo đức cho trẻ em, viết vào thời nhà Thanh bởi học giả Lý Dục Tú. Toàn bộ cuốn sách có 1080 chữ - ngắn hơn nhiều bài blog hiện đại. Nhưng trong 1080 chữ đó, từ xuất hiện nhiều nhất không phải là "hiếu", không phải là "học" - mà là chữ "勿" (đừng), xuất hiện 43 lần.
Một vài ví dụ tiêu biểu:
Đừng giẫm ngưỡng cửa, đừng đứng nghiêng. Đừng ngồi xổm, Đừng rung đùi.
Vén rèm từ từ, đừng gây tiếng động. Quẹo góc rộng, đừng đụng cạnh tường.
Tác giả không giải thích "người có giáo dục trông như thế nào". Ông chỉ liệt kê những hành vi cụ thể cần tránh. Chiến lược này không phải ngẫu nhiên - đây là lựa chọn hợp lý khi bạn chỉ có 1080 chữ để định hình hành vi của một đứa trẻ đang lớn.
"Never commit secrets" và 2.500 dự án GitHub
Addy Osmani, trong bài viết How to write a good spec for AI agents, dẫn một phân tích của GitHub trên hơn 2.500 file cấu hình AI Agent (CLAUDE.md, AGENTS.md, và các file tương tự). Trong tất cả các "constraint hữu ích" được tổng hợp, constraint xuất hiện nhiều nhất là:
Never commit secrets.
Không phải "hãy lưu API key vào biến môi trường". Không phải "nên dùng file .env để quản lý thông tin nhạy cảm". Chỉ là: "Tuyệt đối không commit secrets".
Cú pháp giống hệt chữ "勿" của Lý Dục Tú - hai người viết cho hai đối tượng hoàn toàn khác nhau, cách nhau hơn 300 năm, nhưng đều chọn cùng một cấu trúc ngữ pháp.
Lý do không khó hiểu: hướng dẫn tích cực khó. Để mô tả "làm đúng" bạn phải giải thích ngữ cảnh, đối tượng, phong cách, ngoại lệ - một bài giải thích có thể dài hàng trang. Nhưng để mô tả "đừng làm điều này", bạn chỉ cần một dòng. Và một dòng đó đủ để chặn một sự cố nghiêm trọng.
Lý Dục Tú không có đủ 10.000 chữ để dạy "đạo quân tử". Người viết AGENTS.md không có đủ thời gian để mô tả "một AI agent lý tưởng làm việc như thế nào". Cả hai đều làm cùng một việc: khoanh vùng những hành vi tệ nhất và viết thành lệnh cấm.
Hệ thống ba tầng ranh giới
Nhưng chữ "勿" chỉ giải quyết được một lớp vấn đề. Addy Osmani đề xuất một framework hoàn chỉnh hơn, gọi là Three-Tier Boundary System (hệ thống ranh giới ba tầng):
Always (Luôn luôn thực hiện): những hành vi mặc định - chạy test, tuân theo naming convention, ghi log lỗi. Agent không cần hỏi, cứ làm.
Ask first (Hỏi trước khi làm): những hành vi không phải red line nhưng không thể để Agent tự quyết - thay đổi database schema, thêm dependency mới, sửa CI config, xóa test. Làm được, nhưng phải xin phép trước.
Never (Tuyệt đối không): red line thực sự - commit secrets, động vào production data trực tiếp, vượt qua quyền kiểm soát của người dùng.
Đây là điểm Đệ Tử Quy và AGENTS.md hiện đại bắt đầu tách nhau ra. Đệ Tử Quy rất giỏi "Never" - những câu như "chỗ ẩu đả, tuyệt đối không lại gần", "việc tà vạy, tuyệt đối không hỏi" là những red line rõ ràng và mạnh mẽ. Nhưng sách không phát triển được tầng "Ask first".
Với AI Agent, tầng "Ask first" lại là tầng quan trọng nhất trong thực tế. Phần lớn những sự cố nghiêm trọng không xảy ra vì Agent vượt qua "Never" - mà xảy ra vì Agent tự phán đoán và thực hiện những hành vi thuộc tầng "Ask first" mà không thông báo với người dùng.
Tại sao cấm đoán hiệu quả hơn hướng dẫn tích cực
Sự lựa chọn ưu tiên cấm đoán thay vì hướng dẫn tích cực có một lý do rất thực dụng: không gian hành vi.
Nếu bạn hướng dẫn tích cực, bạn đang cố mô tả một điểm trong không gian vô hạn các hành vi có thể. Làm tốt nghĩa là gì? Đúng mức nào? Trong ngữ cảnh nào? Với đối tượng nào? Câu trả lời luôn phụ thuộc vào quá nhiều biến số.
Nếu bạn cấm đoán, bạn chỉ cần loại trừ một tập hữu hạn những điểm tệ nhất. Không gian còn lại vẫn mênh mông, nhưng ít nhất bạn đã chặn được những thảm họa rõ ràng nhất.
Đây là lý do tại sao cả Lý Dục Tú lẫn những kỹ sư viết AGENTS.md đều dùng cùng một chiến lược. Họ không giải quyết được vấn đề hoàn toàn, nhưng họ giải quyết được phần quan trọng nhất: ngăn những sai lầm không thể sửa chữa.
Một file AGENTS.md tốt, theo logic này, nên là kết quả của quá trình vận hành thực tế - những gì bạn viết vào sau khi Agent đã mắc sai lầm và bạn đã biết sai lầm đó trông như thế nào. Không phải là bản thiết kế lý tưởng viết trước khi triển khai.
Kết
Lý Dục Tú viết Đệ Tử Quy vào thế kỷ 18, dành cho những đứa trẻ mới học chữ. Những kỹ sư hiện đại viết AGENTS.md dành cho những model ngôn ngữ với hàng tỷ tham số. Không gian cách nhau 300 năm, đối tượng cách nhau hoàn toàn - nhưng chiến lược giống nhau đến kinh ngạc.
Cả hai đều hiểu rằng: khi không thể mô tả hết những gì "đúng", ít nhất hãy khoanh tròn những gì "tuyệt đối sai".
Tầng "Never" của AGENTS.md chính là 43 chữ "勿" của Đệ Tử Quy - nâng cấp lên cho thế kỷ 21. Còn tầng "Ask first" - thứ mà Đệ Tử Quy không có - đó là câu chuyện của bài tiếp theo.
Đọc tiếp phần 2: Khi máy nghe lời trở thành mối nguy - vụ Replit xóa database production và tại sao chỉ có "Never" là chưa đủ.