Sự cố rò rỉ mã nguồn của Claude: Hiệu ứng cánh bướm do một tệp .map gây ra

Viết bài: Claude

I. Nguyên nhân khởi phát

Vào rạng sáng ngày 31 tháng 3 năm 2026, một bài đăng trên X đã gây chấn động lớn trong cộng đồng nhà phát triển.

Chaofan Shou, một thực tập sinh của một công ty an ninh blockchain, phát hiện rằng gói npm chính thức của Anthropic kèm theo một tệp source map, khiến toàn bộ mã nguồn của Claude Code bị lộ ra công khai trên Internet. Ngay sau đó, anh công khai phát hiện này trên X và đính kèm liên kết tải trực tiếp.

Bài đăng này bùng nổ trong cộng đồng nhà phát triển như một pháo hiệu. Chỉ trong vài giờ, hơn 512.000 dòng mã TypeScript đã được nhân bản lên GitHub và được hàng nghìn nhà phát triển phân tích theo thời gian thực.

Đây là vụ rò rỉ thông tin nghiêm trọng thứ hai xảy ra với Anthropic trong chưa đầy một tuần.

Chỉ năm ngày trước đó (ngày 26 tháng 3), một cấu hình sai trong CMS của Anthropic đã khiến gần 3.000 tệp nội bộ bị công khai, trong đó có bài blog nháp về mô hình “Claude Mythos” sắp được phát hành.

II. Rò rỉ đã xảy ra như thế nào?

Nguyên nhân kỹ thuật của sự cố lần này nghe thật buồn cười—nguyên nhân cốt lõi là trong gói npm đã vô tình bao gồm nhầm một tệp source map (.map).

Những tệp như vậy dùng để ánh xạ mã nguồn sản phẩm đã được nén và làm rối về lại mã nguồn gốc, nhằm thuận tiện xác định số dòng xảy ra lỗi khi debug. Và trong tệp .map này có một liên kết trỏ tới một gói nén trong bộ nhớ lưu trữ zip của kho Cloudflare R2 do Anthropic tự vận hành.

Shou và những nhà phát triển khác đã tải trực tiếp gói zip đó, không cần bất kỳ thủ đoạn hack nào. Tệp đó nằm sẵn đó, hoàn toàn công khai.

Phiên bản gặp sự cố là v2.1.88 của @anthropic-ai/claude-code, kèm theo một tệp JavaScript source map dung lượng 59,8MB.

Trong tuyên bố phản hồi của mình đối với The Register, Anthropic thừa nhận: “Một phiên bản Claude Code trước đó cũng đã từng xảy ra tình trạng rò rỉ mã nguồn tương tự vào tháng 2 năm 2025.” Điều này có nghĩa là cùng một lỗi đã xảy ra hai lần trong vòng 13 tháng.

Nghịch lý thay, trong Claude Code có một hệ thống gọi là “Undercover Mode (Chế độ điều tra bí mật)” được thiết kế để ngăn các mã nội bộ của Anthropic vô tình bị lộ trong lịch sử git commit… rồi kỹ sư lại đóng gói toàn bộ mã nguồn vào một tệp .map.

Một tác nhân đẩy khác của sự cố có thể đến từ chính chuỗi công cụ: cuối năm Anthropic đã mua lại Bun, và Claude Code chính là được xây dựng dựa trên Bun. Vào ngày 11 tháng 3 năm 2026, có người đã gửi một báo cáo lỗi trên hệ thống theo dõi issue của Bun (#28001), cho biết Bun trong chế độ production vẫn tạo và xuất ra source map, trái ngược với lời giải thích trong tài liệu chính thức. Issue này đến nay vẫn đang mở.

Đối với việc này, phản hồi chính thức của Anthropic rất ngắn gọn và kiềm chế: “Không có dữ liệu người dùng hoặc thông tin xác thực nào liên quan hoặc bị rò rỉ. Đây là một sai sót mang tính con người trong quy trình đóng gói phát hành, không phải là lỗ hổng bảo mật. Chúng tôi đang triển khai các biện pháp để ngăn các sự cố như vậy xảy ra lần nữa.”

III. Đã bị rò rỉ những gì?

Quy mô mã

Nội dung bị rò rỉ lần này bao gồm khoảng 1.900 tệp, hơn 500.000 dòng mã. Đây không phải là trọng số của mô hình, mà là phần hiện thực kỹ thuật của toàn bộ “lớp phần mềm” của Claude Code—bao gồm khung gọi công cụ, điều phối đa tác nhân, hệ thống quyền, hệ thống trí nhớ và các kiến trúc lõi khác.

Bản đồ lộ trình chức năng chưa được phát hành

Đây là phần có giá trị chiến lược cao nhất trong lần rò rỉ này.

Tiến trình bảo vệ tự chủ KAIROS: mã chức năng này được nhắc đến hơn 150 lần và bắt nguồn từ tiếng Hy Lạp cổ nghĩa là “thời điểm thích hợp”, đại diện cho sự chuyển đổi căn bản của Claude Code sang “Agent thường trực chạy nền”. KAIROS bao gồm một tiến trình có tên autoDream, thực hiện việc “tích hợp ký ức” khi người dùng rảnh—gộp các quan sát rời rạc, loại bỏ các mâu thuẫn logic, và chuyển các phát hiện mơ hồ thành các sự thật có tính xác định. Khi người dùng quay lại, ngữ cảnh của Agent đã được làm sạch và có liên quan cao.

Mã nội bộ mô hình và dữ liệu hiệu năng: nội dung bị rò rỉ xác nhận rằng Capybara là mã nội bộ của biến thể Claude 4.6, Fennec tương ứng với Opus 4.6, còn Numbat—vẫn chưa phát hành—đang trong giai đoạn thử nghiệm. Ngoài ra, chú thích trong mã còn lộ ra rằng Capybara v8 có tỷ lệ trình bày sai (false statements) ở mức 29–30%, so với v4 là 16,7%—tức là đã thụt lùi.

Cơ chế phản chưng cất (Anti-Distillation): trong mã có một cờ chức năng tên là ANTI_DISTILLATION_CC. Khi được bật, Claude Code sẽ chèn các định nghĩa công cụ giả vào yêu cầu API nhằm mục đích làm nhiễu dữ liệu lưu lượng API mà đối thủ cạnh tranh có thể dùng để huấn luyện mô hình.

Danh sách chức năng Beta của API: tệp constants/betas.ts tiết lộ mọi tính năng beta mà Claude Code có thỏa thuận với API, bao gồm cửa sổ ngữ cảnh 1 triệu token (context-1m-2025-08-07), chế độ AFK (afk-mode-2026-01-31), quản lý ngân sách tác vụ (task-budgets-2026-03-13) cùng một loạt năng lực khác vẫn chưa được công khai.

Hệ thống bạn đồng hành ảo kiểu “Pokémon” được nhúng: thậm chí trong mã còn cất giấu một hệ thống bạn đồng hành ảo hoàn chỉnh (Buddy), bao gồm độ hiếm loài, biến thể shiny, thuộc tính sinh theo quy trình, và cả “bản mô tả linh hồn” do Claude viết khi ấp nở lần đầu. Loại bạn đồng hành được quyết định bởi bộ tạo số ngẫu nhiên giả có tính xác định dựa trên hàm băm của ID người dùng—cùng một người dùng luôn nhận được cùng một bạn đồng hành.

IV. Tấn công chuỗi cung ứng song song

Sự việc lần này không xảy ra một cách cô lập. Trong cùng khung thời gian xảy ra rò rỉ mã nguồn, gói axios trên npm đã bị tấn công chuỗi cung ứng độc lập.

Trong khoảng từ 00:21 đến 03:29 UTC ngày 31 tháng 3 năm 2026, nếu cài đặt hoặc cập nhật Claude Code thông qua npm, có khả năng vô tình đưa vào phiên bản độc hại (axios 1.14.1 hoặc 0.30.4) có cài cấy Trojan truy cập từ xa (RAT).

Anthropic khuyến nghị các nhà phát triển bị ảnh hưởng nên coi máy chủ là đã hoàn toàn bị xâm nhập, luân chuyển toàn bộ khóa và cài đặt lại hệ điều hành.

Việc hai sự cố trùng thời gian khiến tình hình càng trở nên rối loạn và nguy hiểm hơn.

V. Ảnh hưởng đến ngành

Tác động trực tiếp tới Anthropic

Với một công ty có doanh thu hằng năm trị giá 19 tỷ đô la, đang trong giai đoạn tăng trưởng nhanh, lần rò rỉ này không chỉ là sai sót bảo mật đơn thuần, mà còn là sự mất mát mang tính chiến lược về quyền sở hữu trí tuệ.

Ít nhất một phần năng lực của Claude Code không đến từ bản thân mô hình ngôn ngữ lớn tầng nền, mà đến từ “khung” phần mềm xây dựng xoay quanh mô hình—nó hướng dẫn mô hình cách sử dụng công cụ, đồng thời cung cấp các hàng rào bảo vệ và chỉ lệnh quan trọng để chuẩn hóa hành vi của mô hình.

Những hàng rào bảo vệ và chỉ lệnh này giờ đây đã được đối thủ cạnh tranh nhìn thấy rõ ràng.

Cảnh báo cho toàn bộ hệ sinh thái công cụ AI Agent

Lần rò rỉ này sẽ không nhấn chìm Anthropic, nhưng nó lại cung cấp miễn phí cho tất cả đối thủ cạnh tranh một “giáo trình kỹ thuật”—cách xây dựng các Agent lập trình AI cấp sản xuất, và hướng công cụ nào đáng được tập trung đầu tư.

Giá trị thực sự của nội dung bị rò rỉ không nằm ở bản thân mã nguồn, mà nằm ở bản đồ lộ trình sản phẩm mà các cờ chức năng (feature flags) vạch ra. KAIROS, cơ chế phản chưng cất—đây là các chi tiết chiến lược mà đối thủ cạnh tranh hiện nay có thể dự đoán và phản ứng trước. Mã có thể được tái cấu trúc, nhưng một khi bí quyết chiến lược bị lộ ra thì không thể thu hồi.

VI. Bài học sâu sắc cho việc Agent Coding

Lần rò rỉ này giống như một tấm gương, phản chiếu một số mệnh đề cốt lõi của kỹ thuật AI Agent hiện nay:

1. Ranh giới năng lực của Agent phần lớn do “tầng khung” quyết định, chứ không chỉ do bản thân mô hình

Việc lộ 500.000 dòng mã của Claude Code đã phơi bày một thực tế có ý nghĩa với toàn ngành: cùng một mô hình nền tảng, nếu kết hợp với các khung điều phối công cụ khác nhau, cơ chế quản lý trí nhớ khác nhau và hệ thống quyền khác nhau, thì năng lực Agent tạo ra sẽ hoàn toàn khác nhau. Điều này có nghĩa là “ai có mô hình mạnh nhất” không còn là chiều cạnh cạnh tranh duy nhất—“ai có kỹ thuật khung (framework) tinh xảo hơn” cũng quan trọng không kém.

2. Tính tự chủ tầm xa là mặt trận chiến lược tiếp theo

Sự tồn tại của tiến trình bảo vệ KAIROS cho thấy bước cạnh tranh tiếp theo của ngành sẽ tập trung vào “giúp Agent vẫn làm việc hiệu quả ngay cả khi không có giám sát của con người”. Tích hợp trí nhớ chạy nền, di chuyển kiến thức xuyên phiên, suy luận tự chủ khi rảnh—một khi các năng lực này chín muồi, chúng sẽ thay đổi triệt để cách Agent và con người phối hợp.

3. Phản chưng cất và bảo vệ quyền sở hữu tri thức sẽ trở thành bài học nền tảng mới của kỹ thuật AI

Anthropic đã hiện thực cơ chế phản chưng cất ở tầng mã. Điều này dự báo một lĩnh vực kỹ thuật mới đang hình thành: làm thế nào để ngăn hệ thống AI của chính mình bị đối thủ dùng cho việc thu thập dữ liệu huấn luyện. Đây không chỉ là vấn đề kỹ thuật, mà còn sẽ biến thành mặt trận mới của các cuộc tranh chấp pháp lý và thương mại.

4. An ninh chuỗi cung ứng là điểm gót Achilles của công cụ AI

Khi các công cụ lập trình AI tự phân phối thông qua các trình quản lý gói phần mềm công khai như npm, thì chúng cũng giống như các phần mềm mã nguồn mở khác, phải đối mặt với rủi ro bị tấn công chuỗi cung ứng. Và điểm đặc biệt của công cụ AI là: một khi đã bị cài cắm cửa hậu (backdoor), kẻ tấn công không chỉ giành quyền thực thi mã, mà còn xâm nhập sâu vào toàn bộ luồng công việc phát triển.

5. Hệ thống càng phức tạp, càng cần cơ chế canh giữ phát hành tự động

“Một cấu hình sai trong .npmignore hoặc trường files trong package.json là có thể phơi bày tất cả.” Với bất kỳ nhóm nào xây dựng sản phẩm AI Agent, bài học này không cần phải trả giá đắt đến vậy mới học được—việc đưa thẩm định nội dung phát hành tự động vào pipeline CI/CD nên trở thành thực hành tiêu chuẩn, chứ không phải là biện pháp khắc phục sau khi đã “mất bò mới lo làm chuồng”.

Hậu ký

Hôm nay là ngày 1 tháng 4 năm 2026, ngày Cá tháng Tư. Nhưng đây không phải là trò đùa.

Trong vòng 13 tháng, Anthropic đã phạm cùng một lỗi hai lần. Mã nguồn đã được nhân bản ra toàn cầu, các yêu cầu xóa theo DMCA không thể theo kịp tốc độ của các bản fork. Bản đồ lộ trình sản phẩm đáng lẽ phải được giấu trong mạng nội bộ, giờ đây đang trở thành tài liệu tham khảo của tất cả mọi người.

Với Anthropic, đây là một bài học đau đớn.

Đối với toàn bộ ngành, đây là một khoảnh khắc bất ngờ đầy tính minh bạch—để chúng ta có thể thấy rõ, rốt cuộc các AI Agent lập trình hàng đầu hiện nay được xây dựng như thế nào, từng dòng một.