Sự cố rò rỉ mã nguồn Claude Code: Hiệu ứng cánh bướm do một tệp .map gây ra

Viết bài: Claude

I. Khởi nguồn

Vào rạng sáng ngày 31 tháng 3 năm 2026, một bài đăng trên X đã gây chấn động dữ dội trong cộng đồng nhà phát triển.

Chaofan Shou, một thực tập sinh của một công ty an ninh blockchain, phát hiện trong gói npm chính thức của Anthropic có kèm một tệp source map, khiến toàn bộ mã nguồn của Claude Code bị lộ ra công khai trên Internet. Ngay sau đó, anh đã công khai phát hiện này trên X và kèm theo liên kết tải trực tiếp.

Bài đăng này bùng nổ trong cộng đồng nhà phát triển như một quả pháo hiệu. Trong vài giờ, hơn 512k dòng mã TypeScript đã được phản chiếu lên GitHub và được hàng nghìn nhà phát triển phân tích theo thời gian thực.

Đây là sự cố rò rỉ thông tin lớn thứ hai xảy ra với Anthropic trong chưa đầy một tuần.

Chỉ năm ngày trước đó (ngày 26 tháng 3), một lỗi cấu hình CMS của Anthropic đã khiến gần 1Mệp nội bộ bị công khai, trong đó có bài blog nháp về mô hình “Claude Mythos” sắp được ra mắt.

II. Rò rỉ xảy ra như thế nào?

Nguyên nhân kỹ thuật của lần sự cố này thật đến mức khiến người ta bật cười—lý do cốt lõi là trong gói npm lại bị bao gồm nhầm một tệp source map (.map).

Các tệp này dùng để ánh xạ mã nguồn sản xuất sau khi đã nén và làm rối ngược trở lại mã nguồn gốc, nhằm thuận tiện khi gỡ lỗi để xác định số dòng lỗi. Và trong tệp .map này có chứa một liên kết trỏ đến một gói zip trên kho lưu trữ Cloudflare R2 do chính Anthropic sở hữu.

Shou và các nhà phát triển khác đã tải trực tiếp gói zip này, không hề cần bất kỳ thủ đoạn nào của tin tặc. Tệp ở đó—hoàn toàn công khai.

Phiên bản gặp sự cố là @anthropic-ai/claude-code v2.1.88, kèm theo một tệp JavaScript source map dung lượng 59,8MB.

Trong tuyên bố trả lời The Register, Anthropic thừa nhận: “Một phiên bản Claude Code trước đó vào tháng 2 năm 2025 cũng từng xảy ra sự rò rỉ mã nguồn tương tự.” Điều này có nghĩa là cùng một lỗi đã xảy ra hai lần trong vòng 13 tháng.

Thật trớ trêu, trong nội bộ Claude Code lại có một bộ hệ thống được gọi là “Undercover Mode（chế độ làm nhiệm vụ bí mật）”, được thiết kế nhằm ngăn các mã nội bộ của Anthropic vô tình bị lộ trong lịch sử git commit… rồi các kỹ sư lại đóng gói toàn bộ mã nguồn vào một tệp .map.

Một động lực thúc đẩy tai nạn khác có thể đến từ chính công cụ chuỗi: Anthropic cuối năm đã mua lại Bun, và Claude Code chính là được xây dựng dựa trên Bun. Vào ngày 11 tháng 3 năm 2026, ai đó đã gửi một báo cáo bug trong hệ thống theo dõi issue của Bun (#28001), chỉ ra rằng Bun ở chế độ production vẫn sẽ tạo và xuất source map, trái với nội dung trong tài liệu chính thức. Issue này đến nay vẫn đang ở trạng thái mở.

Đối với điều này, phản hồi chính thức của Anthropic rất ngắn gọn và kiềm chế: “Không có dữ liệu người dùng hay thông tin xác thực nào được liên quan hoặc bị rò rỉ. Đây là một sai lầm của con người trong quy trình đóng gói phát hành, không phải lỗ hổng bảo mật. Chúng tôi đang thúc đẩy các biện pháp để ngăn các sự kiện như vậy xảy ra một lần nữa.”

III. Đã rò rỉ những gì?

Quy mô mã

Nội dung lần rò rỉ bao gồm khoảng 19Bệp và hơn 500k dòng mã. Đây không phải là trọng số mô hình, mà là phần hiện thực kỹ thuật toàn bộ “lớp phần mềm” của Claude Code—bao gồm khung gọi công cụ, điều phối đa tác nhân, hệ thống quyền, hệ thống trí nhớ và các kiến trúc lõi khác.

Lộ trình tính năng chưa được phát hành

Đây là phần có giá trị chiến lược nhất của lần rò rỉ này.

Quá trình bảo vệ tự chủ KAIROS: Mã chức năng được nhắc tới hơn 150 lần này bắt nguồn từ tiếng Hy Lạp cổ “thời điểm thích hợp”, đại diện cho sự thay đổi mang tính nền tảng của Claude Code hướng tới “tác nhân thường trực chạy nền”. KAIROS bao gồm một tiến trình có tên autoDream, chạy “tích hợp trí nhớ” khi người dùng rảnh rỗi—gộp các quan sát rời rạc, loại bỏ mâu thuẫn logic, và cố định các trực giác mơ hồ thành những sự thật mang tính xác định. Khi người dùng quay lại, ngữ cảnh của Agent đã được làm sạch và có độ liên quan cao.

Mã nội bộ của mô hình và dữ liệu hiệu năng: Nội dung rò rỉ xác nhận Capybara là mã nội bộ của biến thể Claude 4.6, Fennec tương ứng với Opus 4.6, còn Numbat—một mô hình chưa được phát hành—vẫn đang được thử nghiệm. Trong chú thích mã còn lộ ra rằng Capybara có tỷ lệ phát biểu sai (false statements) là 29-30%, so với v4 là 16,7% đã có phần thụt lùi.

Cơ chế phản chưng cất (Anti-Distillation): Trong mã có cờ chức năng mang tên ANTI_DISTILLATION_CC. Khi bật, Claude Code sẽ chèn định nghĩa công cụ giả vào các yêu cầu API, nhằm mục tiêu làm nhiễu dữ liệu luồng API mà đối thủ cạnh tranh có thể dùng để huấn luyện mô hình.

Danh sách tính năng Beta API: tệp constants/betas.ts tiết lộ toàn bộ các tính năng beta mà Claude Code và API đang đàm phán, bao gồm cửa sổ ngữ cảnh 1 triệu token (context-1m-2025-08-07), chế độ AFK (afk-mode-2026-01-31), quản lý ngân sách tác vụ (task-budgets-2026-03-13) và hàng loạt năng lực khác vẫn chưa được công bố.

Hệ thống bạn đồng hành kiểu Pokémon tích hợp: Thậm chí mã còn giấu một bộ hệ thống bạn đồng hành hoàn chỉnh (Buddy), bao gồm độ hiếm loài, biến thể sáng (shiny), thuộc tính tạo sinh theo chương trình, và “mô tả linh hồn” được Claude viết khi ấp nở lần đầu. Loại bạn đồng hành được quyết định bởi một bộ tạo số giả ngẫu nhiên mang tính tất định dựa trên mã băm của ID người dùng—cùng một người dùng sẽ luôn nhận được cùng một bạn đồng hành.

IV. Tấn công chuỗi cung ứng song hành

Sự việc này không diễn ra một cách cô lập. Trong cùng cửa sổ thời gian khi mã nguồn bị rò rỉ, gói axios trên npm đã bị tấn công chuỗi cung ứng độc lập.

Trong khoảng từ 00:21 đến 03:29 UTC ngày 31 tháng 3 năm 2026, nếu cài đặt hoặc cập nhật Claude Code thông qua npm, bạn có thể vô tình đưa vào một phiên bản độc hại chứa trojan truy cập từ xa (RAT) (axios 1.14.1 hoặc 0.30.4).

Anthropic khuyến nghị các nhà phát triển bị ảnh hưởng hãy coi máy chủ đã bị xâm nhập hoàn toàn, thay đổi tất cả khóa, và cài đặt lại hệ điều hành.

Việc hai sự kiện trùng lặp về thời gian khiến tình hình càng trở nên rối loạn và nguy hiểm hơn.

V. Tác động tới ngành

Tổn hại trực tiếp đối với Anthropic

Với một công ty có doanh thu hằng năm 512k USD và đang trong giai đoạn tăng trưởng nhanh, lần rò rỉ này không chỉ là sự cố an ninh thiếu sót, mà còn là sự thất thoát tri thức sở hữu trí tuệ mang tính chiến lược.

Ít nhất một phần năng lực của Claude Code không bắt nguồn từ chính mô hình ngôn ngữ lớn tầng nền, mà từ “khung” phần mềm xây dựng xung quanh mô hình—nó hướng dẫn mô hình cách sử dụng công cụ, đồng thời cung cấp các rào chắn bảo vệ quan trọng và các chỉ dẫn để chuẩn hóa hành vi của mô hình.

Những rào chắn và chỉ dẫn này giờ đây đã được đối thủ cạnh tranh nhìn thấy rõ ràng.

Cảnh báo cho hệ sinh thái công cụ AI Agent nói chung

Lần rò rỉ này sẽ không làm sụp đổ Anthropic, nhưng nó lại cung cấp cho mọi đối thủ cạnh tranh một “giáo trình kỹ thuật” miễn phí—cách xây dựng AI lập trình Agent ở cấp độ sản xuất, và hướng công cụ nào xứng đáng được tập trung đầu tư.

Giá trị thực sự của nội dung rò rỉ không nằm ở chính mã nguồn, mà ở lộ trình sản phẩm được tiết lộ thông qua các cờ chức năng. KAIROS, cơ chế phản chưng cất—đây là những chi tiết chiến lược mà đối thủ cạnh tranh hiện có thể đoán trước và phản ứng sớm. Mã có thể được tái cấu trúc, nhưng nếu bí quyết chiến lược bị rò rỉ thì không thể thu hồi.

VI. Khai mở sâu sắc đối với Agent Coding

Lần rò rỉ này giống như một tấm gương, phản chiếu một số mệnh đề cốt lõi của kỹ thuật AI Agent hiện nay:

1. Ranh giới năng lực của Agent phần lớn do “tầng khung” quyết định, không phải do bản thân mô hình

Việc lộ ra 500k dòng mã của Claude Code cho thấy một thực tế có ý nghĩa đối với toàn ngành: cùng một mô hình nền, nếu kết hợp với các khung điều phối công cụ khác nhau, cơ chế quản lý trí nhớ và hệ thống quyền khác nhau, sẽ tạo ra năng lực Agent hoàn toàn khác nhau. Điều này có nghĩa là “ai có mô hình mạnh nhất” không còn là chiều cạnh cạnh tranh duy nhất—“ai có kỹ thuật khung tốt hơn” cũng quan trọng không kém.

2. Tính tự chủ tầm xa là chiến trường cốt lõi tiếp theo

Sự tồn tại của tiến trình bảo vệ KAIROS cho thấy cuộc cạnh tranh bước tiếp theo của ngành sẽ tập trung vào việc “để Agent có thể tiếp tục làm việc hiệu quả ngay cả khi không có giám sát”. Tích hợp trí nhớ chạy nền, chuyển dịch tri thức qua các phiên hội thoại, suy luận tự chủ khi rảnh rỗi—một khi các năng lực này trưởng thành, chúng sẽ thay đổi triệt để cách thức cơ bản của sự phối hợp giữa Agent và con người.

3. Phản chưng cất và bảo vệ sở hữu trí tuệ sẽ trở thành môn học nền tảng mới của kỹ thuật AI

Anthropic đã hiện thực cơ chế phản chưng cất ở tầng mã, điều này báo hiệu rằng một lĩnh vực kỹ thuật mới đang hình thành: làm thế nào để ngăn hệ thống AI của chính mình bị đối thủ dùng cho việc thu thập dữ liệu huấn luyện. Đây không chỉ là vấn đề kỹ thuật, mà còn sẽ biến thành chiến trường mới giữa pháp lý và đấu đá thương mại.

4. An ninh chuỗi cung ứng là “gót Achilles” của công cụ AI

Khi công cụ lập trình AI bản thân được phân phối qua các trình quản lý gói phần mềm công khai như npm, chúng cũng sẽ đối mặt với rủi ro tấn công chuỗi cung ứng giống như các phần mềm mã nguồn mở khác. Điểm đặc biệt của công cụ AI nằm ở chỗ: nếu bị cài cắm backdoor, kẻ tấn công không chỉ có quyền thực thi mã, mà còn xâm nhập sâu vào toàn bộ quy trình phát triển.

5. Hệ thống càng phức tạp, càng cần người gác phát hành được tự động hóa

“Chỉ cần một .npmignore cấu hình sai hoặc trường files trong package.json là có thể phơi bày tất cả.” Đối với bất kỳ đội nhóm nào xây dựng sản phẩm AI Agent, bài học này không cần phải trả giá đắt như vậy mới học được—việc đưa kiểm duyệt nội dung phát hành tự động vào pipeline CI/CD nên trở thành thông lệ chuẩn, chứ không phải biện pháp khắc phục sau khi đã trễ.

Hậu ngữ

Hôm nay là ngày 1 tháng 4 năm 2026, ngày Cá tháng Tư. Nhưng đây không phải là trò đùa.

Anthropic đã lặp lại cùng một sai lầm hai lần trong vòng 13 tháng. Mã nguồn đã được phản chiếu ra toàn cầu, còn các yêu cầu xóa theo DMCA thì không thể theo kịp tốc độ của các bản fork. Lộ trình sản phẩm lẽ ra phải được giấu sâu trong mạng nội bộ giờ đây là tài liệu tham khảo của tất cả mọi người.

Với Anthropic, đây là một bài học đau đớn.

Với cả ngành, đây là một khoảnh khắc bất ngờ đầy sự minh bạch—để chúng ta có thể nhìn thấy, bằng cách nào mà những AI lập trình Agent tiên tiến nhất hiện nay được xây dựng từng dòng một.