#ClaudeCode500KCodeLeak – Một lỗi đóng gói đã tiết lộ Bản thiết kế AI của Anthropic

Trong số những vụ rò rỉ ngẫu nhiên được gọi là lớn nhất trong lịch sử AI, Anthropic vô tình công bố mã nguồn đầy đủ của trợ lý lập trình phổ biến của họ, Claude Code, trên registry npm công cộng. Đây không phải là một cuộc tấn công hack—đó là một sai lầm trị giá 2,5 tỷ đô la do một tệp gỡ lỗi duy nhất gây ra.

Dưới đây là phân tích chi tiết về những gì đã bị rò rỉ, những gì các nhà phát triển phát hiện trong 500.000 dòng mã, và lý do tại sao điều này lại quan trọng đối với tương lai của AI có khả năng hành động.

---

1. Chuyện gì đã xảy ra? Cấu trúc của vụ rò rỉ

Vào ngày 31 tháng 3 năm 2026, Anthropic phát hành phiên bản 2.1.88 của gói npm Claude Code. Không ai trong nhóm biết, bản phát hành này bao gồm một tệp bản đồ nguồn (source map) dung lượng 59.8 MB (cli.js.map) dành chỉ cho mục đích gỡ lỗi nội bộ.

Bản đồ nguồn được thiết kế để liên kết mã đã biên dịch trở lại mã nguồn ban đầu của nó. Bằng cách bao gồm tệp này, Anthropic đã vô tình cung cấp một bản đồ trực tiếp tới một kho lưu trữ zip trên Cloudflare R2 chứa toàn bộ mã TypeScript chưa bị mã hóa.

· Quy mô: khoảng 500.000 dòng mã trong gần 2.000 tệp .
· Phát hiện: Nhà nghiên cứu bảo mật Chaofan Shou phát hiện ra tệp này và đăng bài về nó trên X, thu hút hàng triệu lượt xem trong vòng vài giờ .
· Hậu quả: Mã đã được sao chép sang GitHub và phân nhánh hơn 41.500 lần trước khi Anthropic kịp thu hồi gói. Hiện tại, nó đã tồn tại vĩnh viễn trong môi trường công cộng.

Anthropic xác nhận vụ rò rỉ, cho biết đó là "vấn đề đóng gói phát hành do lỗi con người" và không có dữ liệu khách hàng hay thông tin đăng nhập nào bị lộ.

---

2. Những gì đã bị tiết lộ? Một cái nhìn bên trong

Mã bị rò rỉ cho thấy Claude Code phức tạp hơn nhiều so với một trình bao bọc chatbot đơn thuần. Nó là một nền tảng kỹ thuật có khả năng hành động toàn diện.

Kiến trúc cốt lõi

· QueryEngine.ts: Một module khổng lồ 46.000 dòng xử lý tất cả logic suy luận, đếm token, và vòng lặp chuỗi suy nghĩ phức tạp .
· Hệ sinh thái công cụ: Hơn 40 module cho phép thao tác hệ thống tệp, thực thi lệnh bash, và tích hợp Protocol Máy chủ Ngôn ngữ (LSP) để hiểu sâu về mã .
· Hệ thống Đa tác nhân: Mã xác nhận rằng Claude Code có thể tạo ra các tác nhân phụ thừa kế ngữ cảnh của cha mẹ. Quan trọng là, do bộ nhớ đệm prompt của Anthropic, việc tạo ra 5 tác nhân để làm việc song song có chi phí gần như bằng với việc chạy 1 tác nhân theo trình tự .

---

3. Các tính năng chưa ra mắt ẩn trong mã

Vụ rò rỉ như một bản đồ đường dẫn, tiết lộ các cờ tính năng cho các khả năng đã hoàn thiện nhưng chưa được phát hành.

🔮 KAIROS: Quỷ dữ Tự trị

Phát hiện được bàn luận nhiều nhất. Được tham chiếu hơn 150 lần trong mã nguồn, KAIROS là chế độ quỷ dữ nền .

· Logic AutoDream: Khi người dùng không hoạt động, tác nhân thực hiện "tích hợp bộ nhớ"—kết hợp các quan sát, xóa bỏ mâu thuẫn, và viết lại các ghi chú mơ hồ thành kiến thức rõ ràng .
· Mục tiêu: Biến Claude từ một công cụ thụ động chỉ phản hồi theo prompts thành một tác nhân chủ động hoạt động khi bạn ngủ .

🐣 Buddy: Hệ thống thú cưng AI

Trong một màn trình diễn bất ngờ của "tính khí nhà phát triển," mã bao gồm một hệ thống thú cưng điện tử hoàn chỉnh gọi là "Buddy" .

· Nó có 18 loài (vịt, mèo, bạch tuộc, v.v.), các cấp độ hiếm, và các biến thể "lấp lánh" .
· Tính năng này dự kiến ra mắt vào ngày hôm sau nhưng đã được đẩy sớm sau vụ rò rỉ .

🕵️ Chế độ bí mật

Tính năng này cho phép Claude Code đóng góp vào các kho mã nguồn mở công khai mà không để lại dấu vết về nguồn gốc AI của nó .

· Lời nhắc hệ thống rõ ràng: "Bạn đang hoạt động Ở CHẾ ĐỘ BÍ MẬT… Thông điệp cam kết của bạn KHÔNG ĐƯỢC chứa bất kỳ thông tin nội bộ nào của Anthropic. Đừng để lộ danh tính" .
· Điều này đảm bảo các thông điệp cam kết không chứa nhãn "Claude Code" hoặc các bí danh nội bộ như "Capybara" .

---

4. Hậu quả về an ninh & cạnh tranh

Trong khi Anthropic giảm nhẹ mức độ nghiêm trọng, vụ rò rỉ có những tác động đáng kể.

🛡️ Các biện pháp chống phân tán sai lệch

Mã tiết lộ một cờ gọi là ANTI_DISTILLATION_CC. Khi bật, nó chèn các định nghĩa công cụ giả vào các yêu cầu API. Nếu đối thủ cố gắng chặn lưu lượng API để huấn luyện một mô hình bắt chước, các tín hiệu giả này sẽ làm giảm chất lượng dữ liệu huấn luyện của họ.

📉️ Khó khăn nội bộ của mô hình

Vụ rò rỉ tiết lộ các bí danh nội bộ (Mythos, Capybara, Fennec) và các ghi chú về hiệu suất. Các bình luận cho thấy một biến thể mô hình mới hơn (Capybara v8) có tỷ lệ tuyên bố sai cao trong khoảng 20%, tệ hơn các phiên bản trước. Điều này cho thấy ngay cả các nhà dẫn đầu ngành cũng gặp khó khăn với các ảo tưởng ở cấp độ tác nhân.

⚠️ Rủi ro chuỗi cung ứng

Vụ rò rỉ trùng với một cuộc tấn công npm độc hại khác, trong đó các tác nhân đe dọa đã đăng các phiên bản Axios bị xâm phạm cài đặt một Trojan truy cập từ xa. Các nhà nghiên cứu an ninh hiện khuyên các nhóm quét các tệp khóa (lockfiles) để phát hiện các phụ thuộc bị xâm phạm và coi các hệ thống chạy các gói bị ảnh hưởng là có thể đã bị xâm phạm hoàn toàn.

---

5. Bức tranh lớn hơn: Điều này có ý nghĩa gì

Sự cố này là một bước ngoặt đối với ngành AI vì ba lý do:

1. IP như một con dao hai lưỡi: Anthropic đã xây dựng thương hiệu dựa trên "AI có trách nhiệm" và an toàn. Hai vụ lộ lớn trong một tuần (vụ rò rỉ Claude Code sau một bộ nhớ cache sai cấu hình tiết lộ các tệp nội bộ) đặt ra câu hỏi nghiêm trọng về an ninh vận hành ở cấp cao nhất.
2. Bản thiết kế cho AI có khả năng hành động: Các đối thủ giờ đây có một bản thiết kế chi tiết miễn phí về cách xây dựng một tác nhân lập trình cấp sản xuất—từ kiến trúc bộ nhớ đến phối hợp các tác nhân phụ song song.
3. Mã nguồn mở so với trọng lượng mở: Như một người dùng đã nói đùa, "Anthropic có đang trở nên mở hơn OpenAI không?" . Sự mỉa mai của một công ty AI mã nguồn đóng vô tình "mở nguồn" viên ngọc quý của mình không bị cộng đồng nhà phát triển bỏ qua.

---

Thông điệp cuối cùng

Vụ rò rỉ này không chỉ là một tai nạn xấu hổ. Nó là một cái nhìn hiếm hoi, không qua lọc về kỹ thuật cần thiết để xây dựng các tác nhân AI tự hành. Nó tiết lộ một tương lai nơi AI không chỉ trả lời câu hỏi mà còn làm việc liên tục trong nền, quản lý bộ nhớ của chính nó, và thậm chí đóng góp vào mã nguồn mở một cách ngụy trang.

Đối với các nhà phát triển, lời khuyên ngay lập tức rõ ràng:

· Cập nhật khỏi phiên bản Claude Code 2.1.88.
· Thay đổi API keys nếu bạn đã sử dụng phiên bản bị ảnh hưởng.
· Quét các phụ thuộc của bạn để phát hiện các gói Axios độc hại đã đề cập trong các bản tin bảo mật.

Đối với Anthropic, con đường phía trước là xây dựng lại niềm tin và đảm bảo rằng công ty đề cao an toàn cũng có thể thực hành an ninh.

Bạn nghĩ sao? Vụ rò rỉ này có thúc đẩy đổi mới bằng cách tiết lộ các phương pháp hay nhất, hay nó đặt ra một tiền lệ nguy hiểm cho việc bảo vệ IP AI? Hãy cho tôi biết bên dưới. 👇