Rò rỉ mã nguồn của Anthropic năm 2026: Claude Code CLI bị lộ thông qua lỗi source map trên npm

Anthropic đã vô tình phát hành toàn bộ mã nguồn của Claude Code CLI trong một gói npm công khai, làm lộ khoảng 512.000 dòng mã Typescript cho bất kỳ ai để ý.

Rò rỉ npm của Claude Code tiết lộ các tính năng chưa phát hành, gồm KAIROS, BUDDY và đội hình “agent swarm”

Công ty xác nhận sự cố vào ngày 31/3/2026, trao đổi với Venture Beat, cho rằng đây là lỗi của con người trong quy trình đóng gói phát hành. Phiên bản 2.1.88 của @anthropic-ai/claude-code đã được phát hành kèm một tệp source map dung lượng 59,8 MB bằng Javascript. Về cơ bản đây là một hiện vật gỡ lỗi dùng để ánh xạ mã production đã được minify ngược trở lại Typescript gốc, và nó chỉ thẳng tới một kho lưu trữ zip có thể truy cập công khai nằm trên chính bộ nhớ Cloudflare R2 của Anthropic.

Không ai phải hack gì cả. Tệp chỉ đơn giản là nằm đó.

Nhà nghiên cứu an ninh mạng Chaofan Shou, thực tập sinh tại công ty bảo mật blockchain Fuzzland, đã phát hiện vấn đề và đăng liên kết trực tiếp của bucket đó lên X. Trong vòng vài giờ, các kho lưu trữ được nhân bản xuất hiện trên Github, có một số tích lũy hàng chục nghìn sao trước khi các yêu cầu gỡ bỏ theo DMCA của Anthropic được đưa ra. Các thành viên cộng đồng đã bắt đầu loại bỏ telemetry, bật các cờ tính năng ẩn, và soạn các bản viết lại “clean-room” bằng Python và Rust để né các lo ngại về bản quyền.

Nguyên nhân gốc rành mạch: công cụ đóng gói của Bun tạo source map theo mặc định, và không có bước build nào loại trừ hoặc tắt hiện vật debug trước khi công bố. Việc thiếu một mục trong .npmignore hoặc trường files trong package.json đã có thể ngăn được toàn bộ chuyện này.

Những gì các nhà phát triển phát hiện bên trong là rất chi tiết. Các tệp Typescript khoảng 1.900 tệp bao quát logic thực thi công cụ, các lược đồ quyền (permission schemas), hệ thống bộ nhớ (memory systems), telemetry, các system prompt, và các cờ tính năng — một cái nhìn toàn diện về cách Anthropic xây dựng một công cụ lập trình agentic ở mức production. Telemetry quét prompt để tìm từ tục tĩu như một tín hiệu về mức độ thất vọng nhưng không ghi lại toàn bộ các cuộc trò chuyện của người dùng hay mã. Một “undercover mode” hướng dẫn AI loại bỏ các tham chiếu đến tên mã nội bộ và chi tiết dự án khỏi các commit git và pull request.

Một số tính năng chưa phát hành nằm sau các cờ bật. KAIROS được mô tả là một daemon nền luôn bật, theo dõi tệp, ghi lại sự kiện, và chạy một tiến trình “dreaming” để củng cố bộ nhớ trong thời gian rảnh. BUDDY là một thú cưng kiểu terminal với 18 loài — bao gồm capybara — mang các chỉ số như DEBUGGING, PATIENCE và CHAOS. COORDINATOR MODE cho phép một agent duy nhất sinh ra và quản lý các agent worker song song. ULTRAPLAN lên lịch các buổi lập kế hoạch multi-agent từ xa kéo dài 10 đến 30 phút.

Anthropic nói với Venture Beat rằng sự cố không liên quan đến dữ liệu khách hàng nhạy cảm, không có thông tin xác thực (credentials), và không có sự xâm phạm nào đối với trọng số mô hình hay hạ tầng suy luận (inference infrastructure). “Đây là một lỗi trong việc đóng gói bản phát hành do sai sót của con người,” công ty cho biết, đồng thời nói rằng họ đang triển khai các biện pháp để ngăn lặp lại.

Những biện pháp đó có thể cần được thực hiện nhanh chóng. Đây là lần thứ hai sai lầm tương tự xảy ra. Một rò rỉ gần như tương tự về source-map đã diễn ra với một phiên bản Claude Code trước đó vào tháng 2/2025.

Sự cố ngày 31/3 cũng xảy ra song song với một cuộc tấn công vào chuỗi cung ứng npm khác nhắm vào gói axios, hoạt động trong khoảng 00:21 đến 03:29 UTC. Các nhà phát triển đã cài đặt hoặc cập nhật Claude Code qua npm trong khung thời gian đó được khuyến cáo nên kiểm tra lại các phụ thuộc (dependencies) và xoay vòng (rotate) thông tin xác thực. Anthropic khuyến nghị sử dụng trình cài đặt gốc (native installer) của họ thay vì npm trong tương lai.

Bối cảnh ở đây rất quan trọng. Năm ngày trước đó, vào ngày 26/3, một cấu hình sai ở CMS tại Anthropic đã làm lộ khoảng 3.000 tệp nội bộ, bao gồm các chi tiết về mô hình chưa phát hành “Claude Mythos”, cũng được cho là do lỗi của con người. Hai lần tiết lộ vô tình lớn trong chưa đầy một tuần đặt ra câu hỏi về vệ sinh quy trình phát hành (release hygiene) tại một công ty có công cụ đang được dùng tích cực để viết và triển khai mã ở quy mô lớn.

Mã nguồn bị rò rỉ vẫn còn sẵn ở các dạng bản lưu trữ (archived) và bản sao nhân bản (mirrored) bất chấp việc thực thi gỡ bỏ đang diễn ra. Anthropic chưa công bố một bản post-mortem mở rộng hay tuyên bố công khai nào ngoài bình luận của họ với Venture Beat.

Không có dữ liệu người dùng bị lộ. Các mô hình Claude lõi không bị ảnh hưởng. Tuy nhiên, bản thiết kế (blueprint) để xây dựng một sản phẩm cạnh tranh với Claude Code giờ đây đã dễ lắp ráp hơn đáng kể.

Câu hỏi thường gặp FAQ 🔎

• Q: Rò rỉ mã nguồn Claude Code có phải là một vụ hack không? Không — Anthropic xác nhận việc lộ ra là do lỗi đóng gói, chứ không phải sự cố vi phạm bảo mật (security breach) hay truy cập trái phép.
• Q: Thực sự điều gì đã bị lộ trong vụ rò rỉ npm của Anthropic? Khoảng 512.000 dòng TypeScript bao phủ Claude Code CLI, bao gồm telemetry, các cờ tính năng, các tính năng ẩn và kiến trúc agent — không phải trọng số mô hình hay dữ liệu khách hàng.
• Q: Dữ liệu của tôi có gặp rủi ro từ sự cố npm của Claude Code không? Anthropic nói không có dữ liệu người dùng hay thông tin xác thực nào bị lộ; các nhà phát triển cài đặt qua npm trong khung thời gian tấn công chuỗi cung ứng axios đồng thời nên kiểm tra lại dependencies và xoay vòng credentials.
• Q: Anthropic đã từng rò rỉ mã nguồn trước đây chưa? Có — đã có một vụ rò rỉ gần như tương tự về source-map liên quan đến phiên bản Claude Code trước đó xảy ra vào tháng 2/2025, khiến đây là lần thứ hai trong khoảng 13 tháng.