Sự cố rò rỉ mã nguồn Claude Code: Hiệu ứng cánh bướm do một tệp .map gây ra

Được viết bởi: Claude

I. Nguồn gốc

Rạng sáng ngày 31 tháng 3 năm 2026, một bài đăng trên X đã gây chấn động lớn trong cộng đồng nhà phát triển.

Chaofan Shou, một thực tập sinh tại công ty an ninh blockchain, phát hiện trong gói npm chính thức của Anthropic có kèm một tệp source map, khiến toàn bộ mã nguồn của Claude Code bị phơi bày ra công chúng. Ngay sau đó, anh công khai phát hiện này trên X và kèm theo liên kết tải trực tiếp.

Bài đăng này bùng nổ trong cộng đồng nhà phát triển như một pháo hiệu. Trong vài giờ, hơn 512k dòng mã TypeScript đã được nhân bản lên GitHub và được hàng nghìn nhà phát triển phân tích theo thời gian thực.

Đây là sự cố rò rỉ thông tin nghiêm trọng thứ hai trong chưa đầy một tuần của Anthropic.

Cách đó chỉ năm ngày trước (ngày 26 tháng 3), một lỗi cấu hình CMS của Anthropic khiến gần 512kệp nội bộ bị công khai, trong đó có các bài blog nháp của mô hình “Claude Mythos” dự kiến sắp ra mắt.

II. Sự rò rỉ đã xảy ra như thế nào?

Nguyên nhân kỹ thuật của lần sự cố này thật khiến người ta phải bật cười—nguyên nhân cốt lõi là trong gói npm đã vô tình được đưa nhầm một tệp source map (.map).

Các tệp như vậy dùng để ánh xạ mã nguồn sản xuất đã được nén và làm rối trở lại mã nguồn gốc, nhằm thuận tiện cho việc dò lỗi khi cần định vị số dòng lỗi trong quá trình debug. Và trong tệp .map này có chứa một liên kết trỏ tới gói zip trong kho lưu trữ Cloudflare R2 do chính Anthropic sở hữu.

Shou và những nhà phát triển khác đã tải trực tiếp gói zip này, không cần bất kỳ thủ đoạn hacker nào. Tệp chỉ nằm đó, hoàn toàn công khai.

Phiên bản gặp sự cố là v2.1.88 của @anthropic-ai/claude-code, đi kèm một tệp JavaScript source map có dung lượng 59,8MB.

Trong phần trả lời The Register, Anthropic thừa nhận: “Một phiên bản Claude Code trước đó cũng đã xảy ra rò rỉ mã nguồn tương tự vào tháng 2 năm 2025.” Điều này có nghĩa là cùng một lỗi đã xảy ra hai lần trong 13 tháng.

Trớ trêu thay, nội bộ Claude Code có một hệ thống được gọi là “Undercover Mode (Chế độ nằm vùng)”, được thiết kế để ngăn các mã hiệu nội bộ của Anthropic vô tình lộ trong lịch sử commit git… rồi các kỹ sư lại đóng gói toàn bộ mã nguồn vào một tệp .map.

Một tác nhân khác có thể là chính bản thân chuỗi công cụ: cuối năm ngoái, Anthropic đã mua lại Bun, và Claude Code được xây dựng dựa trên Bun. Ngày 11 tháng 3 năm 2026, có người đã gửi một báo cáo bug trong hệ thống theo dõi issue của Bun (#28001), chỉ ra rằng Bun trong chế độ production vẫn sẽ tạo ra và xuất source map, trái ngược với tuyên bố trong tài liệu chính thức. Issue này đến nay vẫn đang mở.

Đối với việc này, phản hồi chính thức của Anthropic rất ngắn gọn và kiềm chế: “Không có dữ liệu người dùng hoặc thông tin xác thực nào bị liên quan hoặc bị rò rỉ. Đây là một sai sót mang tính con người trong quá trình đóng gói phát hành, không phải là lỗ hổng bảo mật. Chúng tôi đang triển khai các biện pháp để ngăn những sự kiện như thế này tái diễn.”

III. Rò rỉ đã lộ ra những gì?

Quy mô mã

Nội dung bị rò rỉ lần này bao phủ khoảng 1Mệp, hơn 500k dòng mã. Đây không phải là trọng số của mô hình, mà là hiện thực kỹ thuật của toàn bộ “lớp phần mềm” của Claude Code—bao gồm khung gọi công cụ, điều phối đa tác nhân, hệ thống quyền, hệ thống trí nhớ và các kiến trúc cốt lõi khác.

Lộ lộ trình tính năng chưa phát hành

Đây là phần có giá trị chiến lược lớn nhất trong lần rò rỉ này.

Tiến trình bảo hộ tự chủ KAIROS: mã chức năng này được nhắc đến hơn 150 lần. Nó bắt nguồn từ tiếng Hy Lạp cổ “đúng lúc”, thể hiện sự thay đổi căn bản của Claude Code sang “tác nhân thường trực chạy nền”. KAIROS bao gồm một tiến trình có tên autoDream, thực thi “tích hợp trí nhớ” khi người dùng rảnh—hợp nhất các quan sát rời rạc, loại bỏ mâu thuẫn logic, và đúc kết các trực giác mơ hồ thành các sự thật xác định. Khi người dùng quay lại, ngữ cảnh của Agent đã được làm sạch và liên quan rất cao.

Mã hiệu mô hình nội bộ và dữ liệu hiệu năng: nội dung bị rò rỉ xác nhận Capybara là mã hiệu nội bộ của biến thể Claude 4.6; Fennec tương ứng với Opus 4.6; còn Numbat, chưa được phát hành, vẫn đang trong giai đoạn thử nghiệm. Trong chú thích mã còn lộ ra rằng Capybara v8 có tỷ lệ bịa đặt (giả phát biểu) 29-30%, so với v4 là 16,7%, tức có sự thụt lùi.

Cơ chế chống chưng cất (Anti-Distillation): trong mã có một cờ chức năng tên là ANTI_DISTILLATION_CC. Khi được bật, Claude Code sẽ chèn các định nghĩa công cụ giả vào yêu cầu API, nhằm mục đích làm bẩn dữ liệu lưu lượng API mà đối thủ cạnh tranh có thể dùng cho huấn luyện mô hình.

Danh sách tính năng Beta API: tệp constants/betas.ts tiết lộ toàn bộ các tính năng beta mà Claude Code thương lượng với API, bao gồm cửa sổ ngữ cảnh 1 triệu token (context-1m-2025-08-07), chế độ AFK (afk-mode-2026-01-31), quản lý ngân sách nhiệm vụ (task-budgets-2026-03-13) và hàng loạt năng lực khác vẫn chưa được công bố.

Hệ thống bạn đồng ảo kiểu Pokémon được nhúng: trong mã còn cất giấu cả một hệ thống bạn đồng ảo hoàn chỉnh (Buddy), gồm độ hiếm loài, biến thể shiny, thuộc tính tạo sinh theo chương trình, và “bản mô tả linh hồn” do Claude viết khi ấp nở lần đầu. Loại bạn đồng được quyết định bởi bộ sinh số ngẫu nhiên giả mang tính quyết định dựa trên băm ID người dùng; cùng một người dùng sẽ mãi nhận được cùng một bạn đồng.

IV. Tấn công chuỗi cung ứng song song

Sự việc này không diễn ra đơn lẻ. Trong cùng khung thời gian rò rỉ mã nguồn, gói axios trên npm đã bị tấn công chuỗi cung ứng độc lập.

Từ 00:21 đến 03:29 UTC ngày 31 tháng 3 năm 2026, nếu cài đặt hoặc cập nhật Claude Code thông qua npm, có thể vô tình đưa vào phiên bản độc hại có chứa Trojan truy cập từ xa (RAT) (axios 1.14.1 hoặc 0.30.4).

Anthropic khuyến nghị các nhà phát triển bị ảnh hưởng hãy coi máy chủ đã bị chiếm hoàn toàn, luân chuyển tất cả các khóa và cài đặt lại hệ điều hành.

Sự trùng lặp theo thời gian của hai vụ việc khiến tình hình càng trở nên rối loạn và nguy hiểm hơn.

V. Tác động đến ngành

Thiệt hại trực tiếp đối với Anthropic

Đối với một công ty có doanh thu hằng năm 19Bỷ USD và đang trong giai đoạn tăng trưởng nhanh, lần rò rỉ này không chỉ là một sai sót bảo mật, mà còn là sự thất thoát tài sản trí tuệ mang tính chiến lược.

Ít nhất một phần khả năng của Claude Code không đến từ bản thân mô hình ngôn ngữ cốt lõi, mà từ “khung phần mềm” được xây dựng xung quanh mô hình—nó chỉ cách mô hình sử dụng công cụ và cung cấp các hàng rào bảo hộ cùng chỉ lệnh quan trọng để chuẩn hóa hành vi của mô hình.

Những hàng rào bảo hộ và chỉ lệnh này giờ đây đối thủ cạnh tranh nhìn thấy rõ ràng.

Cảnh báo cho toàn bộ hệ sinh thái công cụ AI Agent

Lần rò rỉ này sẽ không nhấn chìm Anthropic, nhưng lại cung cấp miễn phí cho mọi đối thủ cạnh tranh một giáo trình kỹ thuật—cách xây dựng một AI lập trình Agent ở cấp độ sản xuất, và những hướng công cụ nào xứng đáng được tập trung đầu tư.

Giá trị thực sự của nội dung bị rò rỉ không nằm ở bản thân mã nguồn, mà nằm ở lộ trình sản phẩm được hé lộ bởi các cờ/tín hiệu chức năng. KAIROS, cơ chế phản chưng cất—đây là các chi tiết chiến lược mà đối thủ cạnh tranh có thể dự đoán và phản ứng trước. Mã có thể được viết lại, nhưng khi chiến lược bất ngờ đã bị lộ, thì không thể thu hồi.

VI. Hàm ý sâu sắc đối với Agent Coding

Lần rò rỉ này là một tấm gương, phản chiếu một số mệnh đề cốt lõi trong kỹ thuật AI Agent hiện nay:

1. Ranh giới khả năng của Agent phần lớn do “lớp khung” quyết định, chứ không phải do bản thân mô hình

Việc lộ ra 500k dòng mã của Claude Code phơi bày một sự thật có ý nghĩa đối với toàn ngành: cùng một mô hình nền tảng, nếu kết hợp với các khung điều phối công cụ khác nhau, cơ chế quản lý trí nhớ và hệ thống quyền khác nhau, thì sẽ tạo ra những năng lực Agent hoàn toàn khác nhau. Điều này có nghĩa là “ai có mô hình mạnh nhất” giờ không còn là chiều cạnh cạnh tranh duy nhất—“ai có kỹ sư khung tốt hơn” cũng quan trọng không kém.

2. Tự chủ tầm xa là chiến trường cốt lõi tiếp theo

Sự tồn tại của tiến trình bảo hộ KAIROS cho thấy bước cạnh tranh tiếp theo của ngành sẽ tập trung vào việc “để Agent vẫn tiếp tục hoạt động hiệu quả ngay cả khi không có giám sát của con người.” Tích hợp trí nhớ chạy nền, chuyển tri thức qua nhiều phiên hội thoại, suy luận tự chủ khi rảnh—một khi các năng lực này trưởng thành, chúng sẽ thay đổi triệt để mô thức cơ bản của sự phối hợp giữa Agent và con người.

3. Chống chưng cất và bảo vệ tài sản trí tuệ sẽ trở thành môn học nền tảng mới của kỹ nghệ AI

Anthropic hiện thực cơ chế phản chưng cất ở cấp mã, báo hiệu rằng một lĩnh vực kỹ thuật mới đang hình thành: cách ngăn hệ thống AI của chính mình bị đối thủ dùng để thu thập dữ liệu huấn luyện. Đây không chỉ là vấn đề kỹ thuật, mà sẽ phát triển thành một mặt trận mới của cuộc chiến pháp lý và thương mại.

4. An ninh chuỗi cung ứng là mắt xích Achilles của công cụ AI

Khi bản thân các công cụ lập trình AI được phân phối thông qua bộ quản lý phần mềm công khai như npm, chúng cũng phải đối mặt với rủi ro tấn công chuỗi cung ứng giống như các phần mềm nguồn mở khác. Điểm đặc biệt của công cụ AI nằm ở chỗ: nếu bị cài cắm cửa hậu, kẻ tấn công sẽ không chỉ có quyền thực thi mã, mà còn có thể xâm nhập sâu vào toàn bộ luồng công việc phát triển.

5. Hệ thống càng phức tạp, càng cần người gác cổng phát hành được tự động hóa

“Một cấu hình sai trong .npmignore hoặc trường files trong package.json có thể khiến mọi thứ bị lộ.” Với bất kỳ nhóm nào xây dựng sản phẩm AI Agent, bài học này không cần phải trả giá đắt như vậy mới học được—việc đưa vào trong pipeline CI/CD một cơ chế tự động rà soát nội dung được phát hành nên trở thành thực hành chuẩn, thay vì chỉ là biện pháp khắc phục sau khi đã trễ.

Hồi kết

Hôm nay là ngày 1 tháng 4 năm 2026—ngày Cá tháng Tư. Nhưng đây không phải là trò đùa.

Trong 13 tháng, Anthropic đã phạm cùng một sai lầm hai lần. Mã nguồn đã được nhân bản trên toàn cầu, các yêu cầu xóa DMCA không kịp tốc độ của các bản fork. Lộ trình sản phẩm đáng lẽ phải được giấu sâu trong mạng nội bộ, giờ đã trở thành tài liệu tham khảo cho tất cả mọi người.

Với Anthropic, đây là một bài học đau đớn.

Đối với toàn ngành, đây là một khoảnh khắc bất ngờ của sự minh bạch—giúp chúng ta có thể nhìn thấy rốt cuộc Agent lập trình AI hàng đầu hiện nay đã được xây dựng như thế nào, từng dòng một.