Rò rỉ mã của Claude của Anthropic tiết lộ các công cụ tác nhân tự trị và các mô hình chưa được phát hành

Anthropic đã công khai toàn bộ mã nguồn của Claude Code sau khi một tệp source map cấu hình sai được đăng lên npm, mang đến một cái nhìn hiếm hoi bên trong một trong những sản phẩm thương mại quan trọng nhất của công ty.

Tệp này, đi kèm với phiên bản 2.1.88, chứa gần 60 megabyte tài liệu nội bộ, bao gồm khoảng 512.000 dòng mã TypeScript trên 1.906 tệp. Chaofan Shou, một kỹ sư phần mềm thực tập tại Solayer Labs, là người đầu tiên phát hiện ra vụ rò rỉ, và nhanh chóng lan truyền trên X và GitHub khi các nhà phát triển bắt đầu xem xét mã nguồn.

Thông tin công bố cho thấy Anthropic đã xây dựng Claude Code như thế nào để bám tiến độ trong các buổi lập trình dài. Một trong những phát hiện rõ ràng nhất là hệ thống bộ nhớ ba lớp tập trung vào một tệp nhẹ có tên MEMORY.md, lưu các tham chiếu ngắn thay vì thông tin đầy đủ. Các ghi chú dự án chi tiết hơn được lưu riêng và chỉ được nạp khi cần, trong khi lịch sử phiên trước đó được tìm kiếm chọn lọc thay vì tải toàn bộ cùng lúc. Mã cũng hướng dẫn hệ thống kiểm tra bộ nhớ của nó đối chiếu với mã nguồn thực tế trước khi thực hiện hành động, một thiết kế nhằm giảm sai sót và các giả định sai.

Nguồn rò rỉ cũng gợi ý rằng Anthropic đang phát triển một phiên bản Claude Code tự chủ hơn so với những gì người dùng hiện đang thấy. Một tính năng được nhắc đi nhắc lại nhiều lần dưới tên KAIROS xuất hiện mô tả một chế độ daemon, trong đó tác nhân có thể tiếp tục vận hành ở chế độ nền thay vì chờ các yêu cầu trực tiếp.

Một quy trình khác, có tên là autoDream, dường như xử lý việc hợp nhất bộ nhớ trong các giai đoạn nhàn rỗi bằng cách đối chiếu các mâu thuẫn và chuyển các quan sát tạm thời thành các sự thật đã được xác minh. Các nhà phát triển xem xét mã nguồn cũng phát hiện hàng chục cờ tính năng ẩn, bao gồm các tham chiếu đến tự động hóa trình duyệt thông qua Playwright.

Vụ rò rỉ cũng tiết lộ tên mô hình nội bộ và dữ liệu hiệu năng. Theo nguồn, Capybara đề cập đến một biến thể Claude 4.6, Fennec tương ứng với bản phát hành Opus 4.6, và Numbat vẫn đang trong giai đoạn thử nghiệm trước khi ra mắt.

Các chuẩn thử nội bộ được trích dẫn trong mã cho thấy phiên bản Capybara mới nhất có tỷ lệ “claims” sai từ 29% đến 30%, tăng từ 16,7% ở một phiên bản trước đó. Nguồn cũng đề cập đến một bộ đếm mức độ quyết đoán được thiết kế để ngăn mô hình trở nên quá hung hăng khi tái cấu trúc mã người dùng.

Một trong những tiết lộ nhạy cảm nhất liên quan đến một tính năng được mô tả là Undercover Mode. Lời nhắc hệ thống được khôi phục gợi ý rằng Claude Code có thể được dùng để đóng góp vào các kho mã nguồn mở công khai mà không tiết lộ rằng có sự tham gia của AI. Các hướng dẫn nêu rõ ràng rằng mô hình cần tránh tiết lộ các định danh nội bộ, bao gồm cả các mật danh của Anthropic, trong thông điệp commit hoặc nhật ký git công khai.

Các tài liệu rò rỉ cũng phơi bày “engine” phân quyền của Anthropic, logic điều phối cho các quy trình làm việc đa tác nhân, hệ thống xác thực bash và kiến trúc máy chủ MCP, cung cấp cho đối thủ một cái nhìn chi tiết về cách Claude Code hoạt động. Vụ công bố cũng có thể mang lại cho kẻ tấn công một lộ trình rõ ràng hơn để chế tạo các kho mã được thiết kế nhằm khai thác mô hình niềm tin của tác nhân. Đoạn văn bản được dán cho biết một nhà phát triển đã bắt đầu viết lại một phần hệ thống bằng Python và Rust với tên Claw Code chỉ trong vài giờ sau vụ rò rỉ.

Việc lộ mã trùng thời điểm với một cuộc tấn công chuỗi cung ứng riêng biệt liên quan đến các phiên bản độc hại của gói axios npm được phân phối vào ngày 31 tháng 3. Các nhà phát triển cài đặt hoặc cập nhật Claude Code qua npm trong giai đoạn đó cũng có thể đã kéo theo phần phụ thuộc bị xâm phạm, theo báo cáo có chứa một trojan truy cập từ xa. Các nhà nghiên cứu an ninh đã kêu gọi người dùng kiểm tra lockfile, xoay vòng thông tin đăng nhập và trong một số trường hợp cân nhắc cài đặt lại toàn bộ hệ điều hành trên các máy bị ảnh hưởng.

Sự cố này đánh dấu trường hợp thứ hai được biết đến trong khoảng mười ba tháng mà Anthropic lộ ra các chi tiết kỹ thuật nội bộ nhạy cảm, sau một sự kiện trước đó vào tháng 2 năm 2025 liên quan đến thông tin mô hình chưa được phát hành.

Sau vụ vi phạm mới nhất, Anthropic đã chỉ định bộ cài đặt nhị phân độc lập của mình là phương thức ưu tiên để cài đặt Claude Code vì nó bỏ qua chuỗi phụ thuộc của npm. Người dùng vẫn sử dụng npm được khuyến cáo “pin” (chốt) vào các phiên bản an toàn đã được xác minh được phát hành trước gói bị xâm phạm.

                    **Công bố:** Bài viết này đã được chỉnh sửa bởi Estefano Gomez. Để biết thêm thông tin về cách chúng tôi tạo và rà soát nội dung, hãy xem Chính sách Biên tập của chúng tôi.