Sự cố rò rỉ mã nguồn Claude Code: Hiệu ứng cánh bướm do một tệp .map gây ra

Viết bài: Claude

I. Nguồn gốc

Sáng sớm ngày 31 tháng 3 năm 2026, một bài đăng trên X đã gây chấn động mạnh mẽ trong cộng đồng nhà phát triển.

Chaofan Shou, một thực tập sinh của một công ty an ninh blockchain, phát hiện trong gói npm chính thức của Anthropic có kèm một tệp source map, khiến toàn bộ mã nguồn của Claude Code bị phơi bày công khai trên Internet. Anh lập tức công khai phát hiện này trên X và kèm theo liên kết tải trực tiếp.

Bài đăng này bùng nổ trong cộng đồng nhà phát triển như một quả pháo hiệu. Chỉ trong vài giờ, hơn 512k dòng code TypeScript đã được nhân bản lên GitHub và được hàng nghìn nhà phát triển phân tích theo thời gian thực.

Đây là vụ rò rỉ thông tin nghiêm trọng thứ hai xảy ra với Anthropic trong vòng chưa đầy một tuần.

Ngay năm ngày trước đó (ngày 26 tháng 3), một lỗi cấu hình CMS của Anthropic đã khiến gần 512kệp nội bộ bị công khai, trong đó có các bản thảo bài blog về mô hình “Claude Mythos” sắp được phát hành.

II. Rò rỉ đã xảy ra như thế nào?

Nguyên nhân kỹ thuật của vụ việc lần này thật khiến người ta bật cười—căn nguyên nằm ở việc gói npm bị nhúng nhầm một tệp source map (.map file).

Loại tệp này có mục đích là ánh xạ mã nguồn gốc từ mã sản xuất đã được nén và làm rối để thuận tiện khi gỡ lỗi nhằm xác định đúng số thứ tự dòng có lỗi. Và trong tệp .map này có chứa một liên kết trỏ đến gói zip trong kho lưu trữ Cloudflare R2 do chính Anthropic vận hành.

Shou và các nhà phát triển khác đã tải trực tiếp gói zip đó, không cần bất kỳ thủ thuật nào của tin tặc. Tệp đó nằm sẵn ở đó, hoàn toàn công khai.

Phiên bản gặp sự cố là v2.1.88 của @anthropic-ai/claude-code, kèm theo một tệp JavaScript source map có dung lượng 59.8MB.

Trong phần phản hồi tuyên bố của The Register, Anthropic thừa nhận: “Một phiên bản Claude Code trước đó vào tháng 2 năm 2025 cũng từng xảy ra rò rỉ mã nguồn tương tự.” Điều này có nghĩa là cùng một lỗi đã xảy ra hai lần trong vòng 13 tháng.

Thật trớ trêu, trong Claude Code lại có một bộ hệ thống có tên “Undercover Mode（chế độ nằm vùng）”, được thiết kế riêng để ngăn các mã hiệu nội bộ của Anthropic vô tình bị rò rỉ trong lịch sử commit git… rồi các kỹ sư lại đóng gói toàn bộ mã nguồn vào một tệp .map.

Một tác nhân khác của vụ việc có thể đến từ chính chuỗi công cụ: Anthropic cuối năm đã mua lại Bun, và Claude Code chính là được xây dựng dựa trên Bun. Ngày 11 tháng 3 năm 2026, có người đã nộp một báo cáo bug trong hệ thống theo dõi issue của Bun (#28001), chỉ ra rằng Bun trong chế độ production vẫn sẽ tạo và xuất source map, trái với lời giải thích trong tài liệu chính thức. Issue này đến nay vẫn đang mở.

Trước vấn đề này, phản hồi chính thức của Anthropic ngắn gọn và kiềm chế: “Không có dữ liệu người dùng hoặc thông tin xác thực nào bị liên quan hoặc bị rò rỉ. Đây là một sai sót mang tính nhân sự trong quá trình đóng gói phát hành, không phải là lỗ hổng bảo mật. Chúng tôi đang triển khai các biện pháp để ngăn chặn các sự kiện như vậy xảy ra lần nữa.”

III. Rò rỉ những gì?

Quy mô mã nguồn

Nội dung lần này bao gồm khoảng 1Mệp và hơn 500k dòng code. Đây không phải trọng số của mô hình, mà là toàn bộ “lớp phần mềm” của Claude Code—phần hiện thực kỹ thuật của toàn bộ hệ thống, bao gồm khung gọi công cụ, dàn dựng đa tác nhân, hệ thống quyền hạn, hệ thống ghi nhớ và các kiến trúc cốt lõi khác.

Lộ trình tính năng chưa được phát hành

Đây là phần có giá trị chiến lược lớn nhất trong vụ rò rỉ này.

Tiến trình bảo vệ tự chủ KAIROS: Mã hiệu tính năng này được nhắc đến hơn 150 lần, bắt nguồn từ tiếng Hy Lạp cổ với nghĩa là “thời điểm thích hợp”, đại diện cho sự thay đổi căn bản của Claude Code hướng tới “Agent thường trú ở hậu trường”. KAIROS bao gồm một tiến trình có tên autoDream, thực thi “tích hợp bộ nhớ” khi người dùng rảnh—gộp các quan sát rời rạc, loại bỏ mâu thuẫn logic và chuyển các suy ngẫm mơ hồ thành các sự thật mang tính xác định. Khi người dùng quay lại, ngữ cảnh của Agent đã được làm sạch và có độ liên quan cao.

Mã hiệu mô hình nội bộ và dữ liệu hiệu năng: Nội dung rò rỉ xác nhận Capybara là mã hiệu nội bộ của một biến thể Claude 4.6, Fennec tương ứng với Opus 4.6, và Numbat—một mã hiệu mô hình chưa được phát hành—vẫn đang trong giai đoạn thử nghiệm. Trong phần chú thích của code còn lộ ra Capybara v8 có tỷ lệ phát biểu sai (false statements) 29-30%, so với v4 là 16.7%—tức là đã có sự suy giảm.

Cơ chế phản chưng cất (Anti-Distillation): Trong code có một cờ tính năng tên là ANTI_DISTILLATION_CC. Khi được bật, Claude Code sẽ chèn các định nghĩa công cụ giả vào các yêu cầu API, nhằm làm nhiễm dữ liệu lưu lượng API mà đối thủ có thể sử dụng cho huấn luyện mô hình.

Danh sách tính năng API bản Beta: tệp constants/betas.ts tiết lộ toàn bộ các tính năng beta mà Claude Code và API đang đàm phán, bao gồm cửa sổ ngữ cảnh 1M token (context-1m-2025-08-07), chế độ AFK (afk-mode-2026-01-31), quản lý ngân sách tác vụ (task-budgets-2026-03-13) và hàng loạt năng lực khác vẫn chưa được công bố.

Hệ thống bạn đồng hành ảo kiểu Pokémon được nhúng sẵn: Thậm chí trong code còn cất giấu một hệ thống bạn đồng hành hoàn chỉnh (Buddy), bao gồm độ hiếm loài, biến thể sáng bóng, các thuộc tính sinh theo quy trình, và “bản mô tả linh hồn” được Claude viết khi ươm lần đầu. Các loại bạn đồng hành được quyết định bởi một bộ tạo số ngẫu nhiên giả có tính xác định dựa trên băm ID người dùng; cùng một người dùng luôn nhận được cùng một bạn đồng hành.

IV. Tấn công chuỗi cung ứng song song

Sự kiện này không xảy ra đơn lẻ. Trong cùng khung thời gian rò rỉ mã nguồn, gói axios trên npm đã bị một cuộc tấn công chuỗi cung ứng độc lập nhắm tới.

Trong khoảng 00:21 đến 03:29 UTC ngày 31 tháng 3 năm 2026, nếu cài đặt hoặc cập nhật Claude Code thông qua npm, bạn có thể vô tình đưa vào một phiên bản độc hại có chứa Trojan truy cập từ xa (RAT) (axios 1.14.1 hoặc 0.30.4).

Anthropic khuyến nghị các nhà phát triển bị ảnh hưởng hãy coi máy chủ đã hoàn toàn bị xâm nhập, xoay vòng toàn bộ khóa bí mật và cài đặt lại hệ điều hành.

Sự trùng lặp về thời gian giữa hai vụ việc khiến tình hình càng thêm rối ren và nguy hiểm.

V. Tác động đối với ngành

Thiệt hại trực tiếp đối với Anthropic

Với một công ty có doanh thu hằng năm đạt 19Bỷ USD và đang ở giai đoạn tăng trưởng nhanh, vụ rò rỉ lần này không chỉ là sai sót bảo mật—mà còn là sự hao hụt quyền sở hữu trí tuệ mang tính chiến lược.

Ít nhất một phần năng lực của Claude Code không đến từ chính mô hình ngôn ngữ nền tảng, mà từ “khung phần mềm” được xây dựng xung quanh mô hình—nó chỉ dẫn mô hình cách sử dụng công cụ, đồng thời cung cấp các rào chắn và chỉ lệnh quan trọng để định chuẩn hành vi của mô hình.

Những rào chắn và chỉ lệnh này giờ đây đối thủ cạnh tranh đã thấy rõ ràng.

Cảnh báo cho toàn bộ hệ sinh thái công cụ AI Agent

Vụ rò rỉ này sẽ không làm sụp đổ Anthropic, nhưng nó lại cung cấp miễn phí cho tất cả đối thủ một “giáo trình kỹ sư” về cách xây dựng các Agent lập trình AI cấp production—và những hướng công cụ nào đáng để tập trung đầu tư.

Giá trị thật sự của nội dung rò rỉ không nằm ở bản thân đoạn code, mà nằm ở lộ trình sản phẩm được bộc lộ thông qua các cờ/tín hiệu chức năng. KAIROS, cơ chế phản chưng cất—đó là các chi tiết chiến lược mà đối thủ hiện nay có thể dự đoán trước và phản ứng sớm. Code có thể được tái cấu trúc, nhưng một bất ngờ chiến lược bị lộ thì không thể thu hồi.

VI. Những bài học sâu cho Agent Coding

Vụ rò rỉ này là một tấm gương, phản chiếu một số mệnh đề cốt lõi của kỹ thuật AI Agent hiện nay:

1. Ranh giới năng lực của Agent phần lớn do “lớp khung” quyết định, không phải do chính mô hình

Việc lộ 500k dòng code của Claude Code phơi bày một sự thật có ý nghĩa đối với toàn ngành: cùng một mô hình nền tảng, nếu đi kèm các khung điều phối công cụ khác nhau, cơ chế quản lý bộ nhớ và hệ thống quyền hạn khác nhau, thì năng lực Agent sẽ khác biệt hoàn toàn. Điều này có nghĩa là “ai có mô hình mạnh nhất” không còn là trục cạnh tranh duy nhất—“ai có kỹ nghệ khung tốt hơn” cũng quan trọng không kém.

2. Tính tự chủ tầm xa là chiến trường cốt lõi tiếp theo

Sự tồn tại của tiến trình bảo vệ KAIROS cho thấy bước cạnh tranh tiếp theo của ngành sẽ tập trung vào việc “để Agent vẫn làm việc hiệu quả ngay cả khi không có giám sát của con người”. Tích hợp bộ nhớ hậu trường, chuyển giao kiến thức xuyên phiên, suy luận tự chủ khi rảnh—một khi các năng lực này trưởng thành, chúng sẽ thay đổi triệt để cách thức Agent phối hợp với con người.

3. Phản chưng cất và bảo vệ quyền sở hữu tri thức sẽ trở thành môn học nền tảng mới của kỹ thuật AI

Anthropic đã hiện thực cơ chế phản chưng cất ở tầng code, báo hiệu rằng một lĩnh vực kỹ thuật mới đang hình thành: làm sao ngăn hệ thống AI của chính mình bị đối thủ dùng cho việc thu thập dữ liệu huấn luyện. Điều này không chỉ là vấn đề kỹ thuật, mà sẽ phát triển thành một mặt trận chiến đấu mới giữa luật pháp và lợi ích thương mại.

4. An ninh chuỗi cung ứng là điểm Achilles của công cụ AI

Khi các công cụ lập trình AI bản thân được phân phối thông qua các trình quản lý gói phần mềm công khai như npm, chúng cũng giống như các phần mềm mã nguồn mở khác: phải đối mặt với rủi ro tấn công chuỗi cung ứng. Và tính đặc thù của công cụ AI là: một khi chèn cài backdoor, kẻ tấn công không chỉ có quyền thực thi mã mà còn có thể thâm nhập sâu vào toàn bộ luồng công việc phát triển.

5. Hệ thống càng phức tạp, càng cần cơ chế canh gác phát hành tự động

“Chỉ cần một .npmignore cấu hình sai hoặc trường files trong package.json, là có thể phơi bày tất cả.” Đối với bất kỳ đội ngũ nào xây dựng sản phẩm AI Agent, bài học này không cần phải trả giá đắt như vậy mới học được—việc đưa rà soát nội dung phát hành tự động vào pipeline CI/CD phải trở thành thực hành tiêu chuẩn, thay vì chỉ là biện pháp khắc phục sau khi “mất bò mới lo làm chuồng”.

Hậu truyện

Hôm nay là ngày 1 tháng 4 năm 2026, ngày Cá tháng Tư. Nhưng đây không phải là trò đùa.

Trong vòng mười ba tháng, Anthropic đã phạm cùng một sai lầm hai lần. Mã nguồn đã được nhân bản ra toàn cầu, còn các yêu cầu xóa theo DMCA không thể theo kịp tốc độ của các bản fork. Lộ trình sản phẩm lẽ ra phải được giấu sâu trong mạng nội bộ, giờ đã trở thành tài liệu tham khảo của tất cả mọi người.

Với Anthropic, đây là một bài học đau đớn.

Với toàn ngành, đây là một khoảnh khắc minh bạch bất ngờ—để chúng ta có thể nhìn thấy rốt cuộc các Agent lập trình AI tiên tiến nhất hiện nay đã được xây dựng như thế nào, từng dòng một.