Sự cố rò rỉ mã nguồn Claude Code: Hiệu ứng cánh bướm do một tệp .map gây ra

撰文：Claude

一、缘起

Vào rạng sáng ngày 31 tháng 3 năm 2026, một bài đăng trên X đã gây chấn động lớn trong cộng đồng nhà phát triển.

Chaofan Shou, một thực tập sinh tại một công ty bảo mật blockchain, phát hiện rằng gói npm chính thức của Anthropic kèm theo một tệp source map, qua đó phơi bày toàn bộ mã nguồn của Claude Code ra công chúng. Ngay sau đó, anh công khai phát hiện này trên X và kèm theo liên kết tải trực tiếp.

Bài đăng này như một quả pháo hiệu giữa cộng đồng nhà phát triển. Trong vòng vài giờ, hơn 512k dòng mã TypeScript đã được nhân bản lên GitHub và hàng nghìn nhà phát triển phân tích trực tiếp theo thời gian thực.

Đây là vụ rò rỉ thông tin lớn thứ hai xảy ra với Anthropic trong chưa đầy một tuần.

Chỉ năm ngày trước (ngày 26 tháng 3), một lỗi cấu hình CMS của Anthropic khiến gần 512kệp nội bộ bị công khai, trong đó có bài blog nháp cho mô hình “Claude Mythos” sắp được phát hành.

二、泄露是怎么发生的？

Nguyên nhân kỹ thuật của sự cố lần này nghe thật buồn cười—căn nguyên nằm ở việc gói npm đã bị đưa nhầm vào một tệp source map (.map file).

Các tệp này dùng để ánh xạ mã nguồn sản xuất sau khi đã nén và làm rối trở lại mã nguồn gốc, nhằm thuận tiện cho việc dò lỗi khi cần xác định số thứ tự dòng bị sai. Và trong tệp .map đó có một liên kết trỏ tới gói zip được lưu trên chính kho lưu trữ Cloudflare R2 của Anthropic.

Shou và các nhà phát triển khác đã tải trực tiếp gói zip này, không cần bất kỳ thủ đoạn hacker nào. Tệp ở đó—hoàn toàn công khai.

Phiên bản gặp sự cố là v2.1.88 của @anthropic-ai/claude-code, đi kèm một tệp JavaScript source map dung lượng 59.8MB.

Trong phần phản hồi tuyên bố với The Register, Anthropic thừa nhận: “Một phiên bản Claude Code trước đó cũng đã xảy ra rò rỉ mã nguồn tương tự vào tháng 2 năm 2025.” Điều này có nghĩa là cùng một lỗi đã xảy ra hai lần trong vòng 13 tháng.

Thật trớ trêu, bên trong Claude Code có một hệ thống gọi là “Undercover Mode（卧底模式）”, được thiết kế để ngăn các mã hiệu nội bộ của Anthropic vô tình bị lộ trong lịch sử commit git… rồi các kỹ sư lại đóng gói toàn bộ mã nguồn vào một tệp .map.

Một tác nhân đẩy thêm cho sự cố có thể đến từ chính chuỗi công cụ: cuối năm ngoái Anthropic đã mua lại Bun, và Claude Code được xây dựng dựa trên Bun. Vào ngày 11 tháng 3 năm 2026, ai đó đã gửi một báo cáo bug trong hệ thống theo dõi issue của Bun ( #28001 ), chỉ ra rằng Bun trong chế độ production vẫn tạo và xuất source map, trái với những gì tài liệu chính thức nói. Issue này đến nay vẫn đang mở.

Trước vấn đề này, phản hồi chính thức của Anthropic ngắn gọn và kiềm chế: “Không có dữ liệu người dùng hoặc thông tin xác thực nào bị liên quan hoặc bị rò rỉ. Đây là một sai sót mang tính con người trong quá trình đóng gói phát hành, không phải là lỗ hổng bảo mật. Chúng tôi đang thúc đẩy các biện pháp để ngăn các sự cố như vậy xảy ra lần nữa.”

三、泄露了什么？

代码规模

Nội dung lần rò rỉ này bao gồm khoảng 1Mệp, với hơn 500k dòng mã. Đây không phải là trọng số của mô hình, mà là phần hiện thực kỹ thuật của toàn bộ “lớp phần mềm” của Claude Code—bao gồm khung gọi công cụ, dàn dựng đa tác nhân, hệ thống quyền, hệ thống trí nhớ và các kiến trúc cốt lõi khác.

未发布的功能路线图

Đây là phần có giá trị chiến lược cao nhất trong sự rò rỉ lần này.

Tiến trình tự bảo vệ KAIROS：mã hiệu chức năng được nhắc đến hơn 150 lần bắt nguồn từ tiếng Hy Lạp cổ “thời điểm thích hợp”, phản ánh sự chuyển đổi nền tảng của Claude Code sang “Agent chạy thường trực ở nền”. KAIROS bao gồm một tiến trình tên là autoDream, khi người dùng rảnh sẽ thực hiện “tích hợp trí nhớ”—gộp các quan sát rời rạc, loại bỏ mâu thuẫn logic và chuyển các trực giác mơ hồ thành các sự thật xác định. Khi người dùng quay lại, ngữ cảnh của Agent đã được làm sạch và có mức độ liên quan cao.

Mã hiệu mô hình nội bộ và dữ liệu hiệu năng：nội dung rò rỉ xác nhận Capybara là mã hiệu nội bộ của biến thể Claude 4.6, Fennec tương ứng với Opus 4.6, còn Numbat—chưa phát hành—vẫn đang được thử nghiệm. Trong các chú thích mã còn cho thấy Capybara v8 có tỷ lệ bịa đặt (giả phát ngôn) 29-30%, so với v4 là 16.7%, tức là có sự thụt lùi.

Cơ chế phản chưng cất (Anti-Distillation)：trong mã tồn tại một cờ chức năng tên là ANTI_DISTILLATION_CC. Khi bật, Claude Code sẽ chèn các định nghĩa công cụ giả vào yêu cầu API nhằm làm nhiễm dữ liệu lưu lượng API mà đối thủ cạnh tranh có thể dùng cho việc huấn luyện mô hình.

Danh sách tính năng Beta của API：tệp constants/betas.ts tiết lộ toàn bộ các tính năng beta mà Claude Code đàm phán với API, bao gồm cửa sổ ngữ cảnh 1M token (context-1m-2025-08-07), chế độ AFK (afk-mode-2026-01-31), quản lý ngân sách tác vụ (task-budgets-2026-03-13) và nhiều năng lực khác vẫn chưa được công bố.

Hệ thống bạn đồng hành ảo kiểu Pokémon được nhúng：thậm chí trong mã còn cất giấu một hệ thống bạn đồng hành ảo hoàn chỉnh (Buddy), bao gồm độ hiếm loài, biến thể sáng bóng, thuộc tính sinh thành theo chương trình, và “bản mô tả linh hồn” do Claude viết khi ấp lần đầu. Các loại bạn đồng hành được quyết định bằng một bộ sinh số giả ngẫu nhiên mang tính xác định dựa trên băm ID người dùng; cùng một người dùng sẽ luôn nhận được cùng một bạn đồng hành.

四、并发的供应链攻击

Sự việc này không xảy ra một cách cô lập. Ngay trong cùng khung thời gian khi mã nguồn bị rò rỉ, gói axios trên npm cũng bị tấn công chuỗi cung ứng độc lập.

Trong khoảng 00:21 đến 03:29 UTC ngày 31 tháng 3 năm 2026, nếu cài đặt hoặc cập nhật Claude Code thông qua npm, rất có thể bạn đã vô tình đưa vào một phiên bản độc hại có chứa Trojan truy cập từ xa (RAT) (axios 1.14.1 hoặc 0.30.4).

Anthropic khuyến nghị các nhà phát triển bị ảnh hưởng hãy coi máy chủ là đã bị xâm nhập hoàn toàn, xoay vòng tất cả khóa (key) và cài đặt lại hệ điều hành.

Sự trùng lặp về thời gian giữa hai sự việc khiến tình hình càng trở nên rối loạn và nguy hiểm hơn.

五、对行业的影响

对 Anthropic 的直接损害

Đối với một công ty có doanh thu hằng năm đạt 19Bỷ USD và đang trong giai đoạn tăng trưởng nhanh, rò rỉ lần này không chỉ là một sai sót an ninh, mà còn là sự rò rỉ (mất mát) tri thức sở hữu trí tuệ mang tính chiến lược.

Ít nhất một phần năng lực của Claude Code không đến từ chính mô hình ngôn ngữ cốt lõi, mà đến từ cái “khung” phần mềm được xây dựng xung quanh mô hình—nó chỉ dẫn mô hình cách sử dụng công cụ và cung cấp các rào chắn (guardrails) quan trọng cũng như chỉ lệnh để định chuẩn hành vi của mô hình.

Những rào chắn và chỉ lệnh này giờ đây đã được đối thủ cạnh tranh nhìn thấy rõ ràng.

对整个 AI Agent 工具生态的警示

Sự rò rỉ lần này sẽ không nhấn chìm Anthropic, nhưng nó lại đem đến cho tất cả đối thủ cạnh tranh một “giáo trình kỹ thuật” miễn phí—cách xây dựng một AI lập trình Agent ở mức sản xuất, và hướng công cụ nào xứng đáng được ưu tiên đầu tư.

Giá trị thực sự của nội dung rò rỉ không nằm ở bản thân mã nguồn, mà nằm ở lộ trình sản phẩm mà các cờ/chỉ dấu tính năng tiết lộ. KAIROS, cơ chế phản chưng cất—đây là những chi tiết chiến lược mà đối thủ cạnh tranh giờ đây có thể dự đoán và phản ứng trước. Mã có thể được tái cấu trúc, nhưng một “bất ngờ chiến lược” khi đã bị lộ thì không thể thu lại.

六、对 Agent Coding 的深层启示

Sự rò rỉ lần này giống như một tấm gương, phản chiếu một số mệnh đề cốt lõi của kỹ thuật AI Agent hiện nay:

1. Ranh giới năng lực của Agent, phần lớn được quyết định bởi “lớp khung (framework)”, chứ không phải bởi chính mô hình

Việc lộ ra 500k dòng mã của Claude Code cho thấy một sự thật có ý nghĩa với toàn ngành: cùng một mô hình nền, nếu kết hợp với các khung dàn dựng công cụ khác nhau, cơ chế quản lý trí nhớ và hệ thống quyền khác nhau, sẽ tạo ra năng lực Agent hoàn toàn khác nhau. Điều này có nghĩa là “ai có mô hình mạnh nhất” không còn là chiều cạnh cạnh tranh duy nhất—“ai có kỹ thuật khung (framework engineering) tinh xảo hơn” cũng quan trọng không kém.

2. Tính tự chủ tầm xa là chiến trường cốt lõi tiếp theo

Sự tồn tại của tiến trình bảo vệ KAIROS cho thấy cuộc cạnh tranh bước tiếp theo của ngành sẽ tập trung vào việc “giúp Agent vẫn làm việc hiệu quả ngay cả khi không có người giám sát”. Tích hợp trí nhớ chạy nền, di chuyển kiến thức xuyên phiên, suy luận tự chủ lúc rảnh—những năng lực này một khi trưởng thành sẽ thay đổi triệt để phương thức hợp tác cơ bản giữa Agent và con người.

3. Phản chưng cất và bảo vệ sở hữu trí tuệ sẽ trở thành môn học nền tảng mới của kỹ thuật AI

Anthropic đã hiện thực cơ chế phản chưng cất ở lớp mã. Điều này báo hiệu một lĩnh vực kỹ thuật mới đang hình thành: làm thế nào để ngăn hệ thống AI của chính mình bị đối thủ cạnh tranh dùng cho việc thu thập dữ liệu huấn luyện. Không chỉ là vấn đề kỹ thuật, mà còn sẽ phát triển thành chiến trường mới của các cuộc đấu tranh pháp lý và cạnh tranh thương mại.

4. An ninh chuỗi cung ứng là điểm gót Achilles của công cụ AI

Khi các công cụ lập trình AI tự phân phối thông qua các trình quản lý gói phần mềm công khai như npm, chúng sẽ đối mặt với rủi ro tấn công chuỗi cung ứng giống như các phần mềm mã nguồn mở khác. Điểm đặc biệt của công cụ AI là: một khi bị cấy backdoor, kẻ tấn công không chỉ có quyền thực thi mã, mà còn có sự thâm nhập sâu vào toàn bộ quy trình phát triển.

5. Hệ thống càng phức tạp, càng cần người gác cổng phát hành được tự động hóa

“Một .npmignore bị cấu hình sai hoặc trường files trong package.json, cũng đủ để lộ ra tất cả.” Với bất kỳ nhóm nào xây dựng sản phẩm AI Agent, bài học này không cần phải trả giá đắt đến mức như vậy mới học được—việc đưa vào kiểm tra tự động nội dung phát hành trong pipeline CI/CD phải trở thành thông lệ chuẩn, chứ không phải biện pháp khắc phục sau khi đã “lỡ để hở”.

Kết

Hôm nay là ngày 1 tháng 4 năm 2026, ngày Cá tháng Tư. Nhưng đây không phải là trò đùa.

Trong vòng 13 tháng, Anthropic đã phạm cùng một lỗi hai lần. Mã nguồn đã được nhân bản ra toàn cầu, và các yêu cầu xóa theo DMCA không thể theo kịp tốc độ của các bản fork. Lộ trình sản phẩm lẽ ra phải được giấu sâu trong mạng nội bộ giờ đây đã trở thành tài liệu tham khảo của tất cả mọi người.

Với Anthropic, đây là một bài học đau đớn.

Với toàn ngành, đây là một khoảnh khắc bất ngờ minh bạch—cho chúng ta có thể nhìn thấy một cách cận cảnh rằng, rốt cuộc các AI lập trình Agent hàng đầu hiện nay đã được xây dựng như thế nào, từ từng dòng một.