Rò rỉ mã của Claude của Anthropic tiết lộ các công cụ tác nhân tự trị và các mô hình chưa được phát hành

Anthropic đã công bố toàn bộ mã nguồn của Claude Code sau khi một tệp source map được cấu hình sai được đăng lên npm, mang đến cái nhìn hiếm có về một trong những sản phẩm thương mại quan trọng nhất của công ty.

Tệp này, đi kèm với phiên bản 2.1.88, chứa gần 60 megabyte tài liệu nội bộ, bao gồm khoảng 512.000 dòng TypeScript trên 1.906 tệp. Chaofan Shou, một kỹ sư phần mềm thực tập tại Solayer Labs, là người đầu tiên phát hiện rò rỉ, sau đó nhanh chóng lan truyền trên X và GitHub khi các nhà phát triển bắt đầu xem xét codebase.

Thông tin công bố cho thấy Anthropic đã xây dựng Claude Code như thế nào để bám sát tiến độ trong các phiên lập trình dài. Một trong những phát hiện rõ ràng nhất là một hệ thống bộ nhớ ba lớp, xoay quanh một tệp nhẹ tên là MEMORY.md, dùng để lưu các tham chiếu ngắn thay vì thông tin đầy đủ. Các ghi chú dự án chi tiết hơn được lưu riêng và chỉ được nạp khi cần, trong khi lịch sử các phiên trước được tìm kiếm một cách chọn lọc thay vì tải toàn bộ cùng lúc. Mã nguồn cũng chỉ dẫn hệ thống kiểm tra bộ nhớ của mình với mã nguồn thực tế trước khi hành động, một thiết kế nhằm giảm sai sót và các giả định sai.

Nguồn tin cũng cho thấy Anthropic đã và đang phát triển một phiên bản Claude Code mang tính tự chủ hơn so với những gì người dùng hiện thấy. Một tính năng được nhắc đi nhắc lại nhiều lần dưới tên KAIROS xuất hiện như thể mô tả một chế độ daemon trong đó tác nhân có thể tiếp tục hoạt động ở nền thay vì phải chờ các prompt trực tiếp.

Một quá trình khác, được gọi là autoDream, có vẻ xử lý việc hợp nhất bộ nhớ trong các giai đoạn rảnh bằng cách đối chiếu các mâu thuẫn và chuyển các quan sát tạm thời thành các sự kiện đã được xác thực. Các nhà phát triển khi rà soát mã cũng phát hiện hàng chục cờ tính năng ẩn, bao gồm các tham chiếu đến tự động hóa trình duyệt thông qua Playwright.

Vụ rò rỉ cũng lộ ra các tên mô hình nội bộ và dữ liệu hiệu năng. Theo nguồn tin, Capybara đề cập đến một biến thể Claude 4.6, Fennec tương ứng với một bản phát hành Opus 4.6, và Numbat vẫn nằm trong giai đoạn thử nghiệm trước khi ra mắt.

Các benchmark nội bộ được trích dẫn trong mã cho thấy phiên bản Capybara mới nhất có tỷ lệ “false claims” là 29% đến 30%, tăng so với 16,7% ở một phiên bản trước đó. Nguồn tin cũng nhắc đến một bộ đếm cân bằng mức độ quyết đoán được thiết kế để ngăn mô hình trở nên quá hung hăng khi tái cấu trúc mã do người dùng viết.

Một trong những tiết lộ nhạy cảm nhất liên quan đến một tính năng được mô tả là Undercover Mode. Prompt hệ thống được phục hồi gợi ý rằng Claude Code có thể được dùng để đóng góp vào các kho mã nguồn mở công khai mà không tiết lộ rằng có AI tham gia. Các hướng dẫn nêu rõ ràng rằng mô hình cần tránh việc lộ các định danh nội bộ, bao gồm các tên mã của Anthropic, trong tin nhắn commit hoặc nhật ký git công khai.

Các tài liệu bị rò rỉ cũng phơi bày công cụ quản lý quyền (permission engine) của Anthropic, logic điều phối cho các luồng công việc đa tác nhân (multi-agent), hệ thống xác thực bash, và kiến trúc máy chủ MCP, qua đó cung cấp cho đối thủ một cái nhìn chi tiết về cách Claude Code hoạt động. Vụ rò rỉ cũng có thể mang lại cho kẻ tấn công một lộ trình rõ ràng hơn để tạo ra các kho được thiết kế nhằm khai thác mô hình niềm tin của tác nhân. Đoạn văn bản bị dán cho biết một nhà phát triển đã bắt đầu viết lại các phần của hệ thống bằng Python và Rust dưới tên Claw Code chỉ trong vài giờ sau khi rò rỉ.

Việc lộ nguồn trùng thời điểm với một cuộc tấn công chuỗi cung ứng riêng, liên quan đến các phiên bản độc hại của gói axios npm được phân phối vào ngày 31 tháng 3. Các nhà phát triển đã cài đặt hoặc cập nhật Claude Code thông qua npm trong giai đoạn đó cũng có thể đã kéo theo phần phụ thuộc bị xâm phạm, được cho là có chứa một trojan truy cập từ xa. Các nhà nghiên cứu an ninh đã kêu gọi người dùng kiểm tra lockfiles, xoay vòng (rotate) thông tin đăng nhập, và trong một số trường hợp cân nhắc cài đặt lại toàn bộ hệ điều hành trên các máy bị ảnh hưởng.

Sự cố này đánh dấu trường hợp thứ hai được biết đến trong khoảng mười ba tháng, khi Anthropic lộ ra các chi tiết kỹ thuật nội bộ nhạy cảm, sau một sự kiện trước đó vào tháng 2 năm 2025 liên quan đến thông tin mô hình chưa được phát hành.

Sau lần xâm phạm mới nhất, Anthropic đã chỉ định trình cài đặt nhị phân độc lập (standalone) của mình là phương pháp ưu tiên để cài đặt Claude Code vì nó bỏ qua chuỗi phụ thuộc của npm. Người dùng vẫn sử dụng npm được khuyến nghị ghim (pin) vào các phiên bản an toàn đã được xác minh và phát hành trước gói bị xâm phạm.

                    **Disclosure:** Bài viết này đã được biên tập bởi Estefano Gomez. Để biết thêm thông tin về cách chúng tôi tạo và rà soát nội dung, hãy xem Chính sách Biên tập của chúng tôi.