Phạm Thanh Bình
Writer
Một nhà nghiên cứu bảo mật đã phát hiện ngày 31/3/2026 rằng sản phẩm chủ lực của Anthropic, công cụ Claude Code, đã vô tình công khai toàn bộ mã nguồn TypeScript gốc qua một tệp bản đồ nguồn (source map) được tải lên kho lưu trữ npm, gây rò rỉ hơn 512.000 dòng mã và hơn 1.900 tập tin.
Tệp cli.js.map dung lượng 59,8 MB không bị loại trừ khỏi gói phát hành công khai, dù đây chỉ là sơ suất cấu hình trong quy trình xây dựng, chứ không phải kết quả của một cuộc tấn công mạng hay xâm nhập cơ sở dữ liệu. Chỉ trong vài giờ, kho lưu trữ sao lưu trên GitHub đã thu hút hơn 5.000 lượt đánh dấu sao và trở thành chủ đề nóng trên Hacker News cũng như Reddit.
Vụ việc cho phép bất kỳ ai cũng có thể tái tạo hoàn toàn cơ sở mã gốc của Claude Code - một công cụ được Anthropic quảng bá như “kỹ sư AI” - nhờ khả năng ánh xạ mã đã thu nhỏ và làm mờ trở về dạng TypeScript dễ đọc. Theo phân tích công khai, tệp bản đồ còn tham chiếu trực tiếp đến các tập tin nguồn chưa bị làm mờ được lưu trong kho R2 của Anthropic, cho phép tải xuống toàn bộ thư mục src/.
Đây không phải lần đầu tiên Claude Code gặp vấn đề liên quan đến source map. Từ tháng 2/2025, cộng đồng Hacker News đã thảo luận về khả năng trích xuất mã nguồn từ gói npm của sản phẩm này, và một số nhà phát triển đã thực hiện “dịch thuật trong phòng sạch” quy mô nhỏ hơn.
Theo một kỹ sư AI giấu tên, tác động của vụ rò rỉ lần này vẫn có giới hạn vì không bao gồm trọng số mô hình hoàn chỉnh. “Thông tin thực sự có giá trị là các lời nhắc hệ thống và logic kiến trúc nội bộ, nhưng trọng số mô hình thì chưa bị lộ”, kỹ sư này nhận định.Phân tích mã nguồn bị rò rỉ cho thấy Claude Code không chỉ là một giao diện dòng lệnh đơn giản bao quanh API mô hình lớn. Cốt lõi gồm ba mô-đun chính: hệ thống công cụ với khoảng 40 mô-đun độc lập (tổng cộng khoảng 29.000 dòng mã) hỗ trợ đọc/ghi tệp, thực thi Bash, trích xuất web và tích hợp LSP; mô-đun QueryEngine.ts dài 46.000 dòng chịu trách nhiệm tương tác API, bộ nhớ đệm và đếm token; cùng hệ thống phối hợp đa tác nhân với cầu nối dành cho các IDE như VS Code và JetBrains.
Mã nguồn còn tiết lộ một số tính năng chưa công bố, trong đó có “Kairos”- một daemon tự quản chạy nền với khả năng duy trì phiên và bộ nhớ, được giới hạn bởi ngân sách chặn 15 giây; “ULTRAPLAN” cho phép chuyển giao nhiệm vụ lập kế hoạch phức tạp sang container đám mây từ xa sử dụng mô hình Opus 4.6; và “Chế độ bí mật” tự động kích hoạt khi nhân viên Anthropic làm việc trên kho mã công khai nhằm xóa dấu vết sử dụng AI khỏi lịch sử commit.
Ngoài ra, mã còn tích hợp một hệ thống “thú cưng điện tử” mang tên Buddy System với 18 loài thú cưng, cấp độ hiếm và phiên bản lấp lánh, được tạo ngẫu nhiên dựa trên ID người dùng (xác suất 1% cho phiên bản lấp lánh).
Vụ rò rỉ xảy ra chỉ năm ngày sau sự cố bảo mật khác của Anthropic. Ngày 26/3/2026, khoảng 3.000 tài sản nội bộ chưa phát hành đã bị truy cập công khai do cấu hình sai hệ thống quản lý nội dung (CMS), bao gồm bản thảo mô hình Claude Mythos, chi tiết sự kiện kín dành cho khách hàng cấp CEO và đánh giá an ninh mạng. Anthropic lúc đó giải thích đây là “lỗi cấu hình của con người” với công cụ bên ngoài và nội dung chỉ là bản nháp không ảnh hưởng đến cơ sở hạ tầng cốt lõi.
Với giá trị định giá 350 tỷ USD và kế hoạch IPO dự kiến quý IV/2026, hai sự cố liên tiếp trong vòng một tuần, dù đều xuất phát từ lỗi cấu hình cơ bản,đang đặt dấu hỏi về quản lý vận hành và bảo mật kỹ thuật của Anthropic, dù công ty này đầu tư mạnh vào nghiên cứu mô hình AI và an ninh.
Theo các chuyên gia, đây là lần đầu tiên toàn bộ quy trình triển khai kỹ thuật của một sản phẩm AI mã nguồn đóng hàng đầu bị phơi bày công khai chỉ vì một tệp .map bị bỏ sót trong quy trình build. #claudecodelộmãnguồn
Tệp cli.js.map dung lượng 59,8 MB không bị loại trừ khỏi gói phát hành công khai, dù đây chỉ là sơ suất cấu hình trong quy trình xây dựng, chứ không phải kết quả của một cuộc tấn công mạng hay xâm nhập cơ sở dữ liệu. Chỉ trong vài giờ, kho lưu trữ sao lưu trên GitHub đã thu hút hơn 5.000 lượt đánh dấu sao và trở thành chủ đề nóng trên Hacker News cũng như Reddit.
Vụ việc cho phép bất kỳ ai cũng có thể tái tạo hoàn toàn cơ sở mã gốc của Claude Code - một công cụ được Anthropic quảng bá như “kỹ sư AI” - nhờ khả năng ánh xạ mã đã thu nhỏ và làm mờ trở về dạng TypeScript dễ đọc. Theo phân tích công khai, tệp bản đồ còn tham chiếu trực tiếp đến các tập tin nguồn chưa bị làm mờ được lưu trong kho R2 của Anthropic, cho phép tải xuống toàn bộ thư mục src/.
Đây không phải lần đầu tiên Claude Code gặp vấn đề liên quan đến source map. Từ tháng 2/2025, cộng đồng Hacker News đã thảo luận về khả năng trích xuất mã nguồn từ gói npm của sản phẩm này, và một số nhà phát triển đã thực hiện “dịch thuật trong phòng sạch” quy mô nhỏ hơn.
Theo một kỹ sư AI giấu tên, tác động của vụ rò rỉ lần này vẫn có giới hạn vì không bao gồm trọng số mô hình hoàn chỉnh. “Thông tin thực sự có giá trị là các lời nhắc hệ thống và logic kiến trúc nội bộ, nhưng trọng số mô hình thì chưa bị lộ”, kỹ sư này nhận định.Phân tích mã nguồn bị rò rỉ cho thấy Claude Code không chỉ là một giao diện dòng lệnh đơn giản bao quanh API mô hình lớn. Cốt lõi gồm ba mô-đun chính: hệ thống công cụ với khoảng 40 mô-đun độc lập (tổng cộng khoảng 29.000 dòng mã) hỗ trợ đọc/ghi tệp, thực thi Bash, trích xuất web và tích hợp LSP; mô-đun QueryEngine.ts dài 46.000 dòng chịu trách nhiệm tương tác API, bộ nhớ đệm và đếm token; cùng hệ thống phối hợp đa tác nhân với cầu nối dành cho các IDE như VS Code và JetBrains.
Mã nguồn còn tiết lộ một số tính năng chưa công bố, trong đó có “Kairos”- một daemon tự quản chạy nền với khả năng duy trì phiên và bộ nhớ, được giới hạn bởi ngân sách chặn 15 giây; “ULTRAPLAN” cho phép chuyển giao nhiệm vụ lập kế hoạch phức tạp sang container đám mây từ xa sử dụng mô hình Opus 4.6; và “Chế độ bí mật” tự động kích hoạt khi nhân viên Anthropic làm việc trên kho mã công khai nhằm xóa dấu vết sử dụng AI khỏi lịch sử commit.
Ngoài ra, mã còn tích hợp một hệ thống “thú cưng điện tử” mang tên Buddy System với 18 loài thú cưng, cấp độ hiếm và phiên bản lấp lánh, được tạo ngẫu nhiên dựa trên ID người dùng (xác suất 1% cho phiên bản lấp lánh).
Vụ rò rỉ xảy ra chỉ năm ngày sau sự cố bảo mật khác của Anthropic. Ngày 26/3/2026, khoảng 3.000 tài sản nội bộ chưa phát hành đã bị truy cập công khai do cấu hình sai hệ thống quản lý nội dung (CMS), bao gồm bản thảo mô hình Claude Mythos, chi tiết sự kiện kín dành cho khách hàng cấp CEO và đánh giá an ninh mạng. Anthropic lúc đó giải thích đây là “lỗi cấu hình của con người” với công cụ bên ngoài và nội dung chỉ là bản nháp không ảnh hưởng đến cơ sở hạ tầng cốt lõi.
Với giá trị định giá 350 tỷ USD và kế hoạch IPO dự kiến quý IV/2026, hai sự cố liên tiếp trong vòng một tuần, dù đều xuất phát từ lỗi cấu hình cơ bản,đang đặt dấu hỏi về quản lý vận hành và bảo mật kỹ thuật của Anthropic, dù công ty này đầu tư mạnh vào nghiên cứu mô hình AI và an ninh.
Theo các chuyên gia, đây là lần đầu tiên toàn bộ quy trình triển khai kỹ thuật của một sản phẩm AI mã nguồn đóng hàng đầu bị phơi bày công khai chỉ vì một tệp .map bị bỏ sót trong quy trình build. #claudecodelộmãnguồn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
