#ClaudeCode500KCodeLeak

1 April 2026, Anthropic - công ty an toàn AI đứng sau dòng mô hình Claude vô tình tiết lộ mã nguồn gần như hoàn chỉnh của sản phẩm phát triển chủ lực, Claude Code. Sự cố không phải do tấn công mạng, nội bộ độc hại hay vi phạm bảo mật tinh vi. Đó là một sai sót trong quá trình đóng gói. Một tệp tin bị đặt sai vị trí đã được gửi đến registry công cộng, và chỉ trong vài giờ, thế giới AI đã bắt đầu phân tích hơn nửa triệu dòng mã độc quyền.

Chuyện Xảy Ra Như Thế Nào

Khi Anthropic phát hành phiên bản 2.1.88 của gói @anthropic-ai/claude-code lên registry npm công cộng, quá trình build đã vô tình đóng gói một tệp bản đồ nguồn JavaScript dung lượng 59.8MB, cụ thể là cli.js.map, cùng với phần còn lại của gói. Các tệp bản đồ nguồn là các công cụ gỡ lỗi. Chúng liên kết mã đã đóng gói, rút gọn hoặc biên dịch về nguồn gốc dễ đọc ban đầu. Chúng là công cụ nội bộ và không bao giờ được gửi đến người dùng cuối hoặc xuất hiện trên registry công khai.

Vấn đề là tệp bản đồ nguồn này không trỏ đến mã đã bị obfuscate hoặc biên dịch — nó tham chiếu đến các tệp nguồn TypeScript chưa bị obfuscate. Ai tải xuống gói npm và biết cách làm việc với bản đồ nguồn có thể phục hồi toàn bộ mã nguồn TypeScript ban đầu theo dạng dễ đọc, có thể điều hướng đầy đủ. Chính xác điều đó đã xảy ra.

Một nhà nghiên cứu bảo mật liên kết với Solayer Labs, đăng tải dưới tên @Fried_rice trên X, được cho là người đầu tiên xác định và giải mã sự cố này. Trong thời gian ngắn, một kho lưu trữ GitHub xuất hiện chứa mã nguồn được trình bày là đã phục hồi — khoảng 512.000 dòng mã TypeScript trải dài khoảng 1.900 tệp. Kho lưu trữ này đã bị fork nhanh chóng trước khi Anthropic có thể phản hồi.

Nội Dung Thật Sự Trong Đó Là Gì

Lỗ hổng không tiết lộ trọng số mô hình, dữ liệu huấn luyện hay bất kỳ thông tin đăng nhập khách hàng nào của Claude. Anthropic xác nhận điều này trực tiếp. Nhưng những gì bị lộ ra có thể coi là thứ nhạy cảm tiếp theo: một cái nhìn chi tiết về cách cấu trúc của Claude Code, cách nó xử lý ý định người dùng, cách nó giao tiếp với các mô hình, và những gì đang được xây dựng phía sau hậu trường.

Nhiều phát hiện nhanh chóng lan truyền trong cộng đồng nhà phát triển và nhà nghiên cứu phân tích mã.

Trong mã nguồn, có các tham chiếu đến các mô hình chưa ra mắt. Các tên Opus 4.7 và Sonnet 4.8 xuất hiện, cùng với các bí danh nội bộ Capybara và Mythos — trong đó Mythos đã từng được tiết lộ một phần vài ngày trước qua một sự cố riêng, khi các bài blog và tài liệu chưa công bố bị vô tình để lộ trong bộ đệm dữ liệu công khai. Các tên Mythos và Capybara dường như đề cập cùng một mô hình sắp ra mắt, và mã nguồn bị rò rỉ còn xác nhận rằng việc ra mắt đang được chuẩn bị tích cực.

Trong mã còn phát hiện một tính năng gọi là ultraplan. Đây có vẻ là chế độ đa tác nhân bất đồng bộ dành cho các phiên nghiên cứu dài hơn, với thời gian hoàn thành dự kiến từ mười đến ba mươi phút. Điều này ngụ ý rằng Claude Code đang được xây dựng để phối hợp nhiều tác nhân trong các nhiệm vụ kéo dài, một khả năng kiến trúc quan trọng chưa từng được công khai.

Ngoài ra còn có các tham chiếu đến một thứ gọi là Kairos, mô tả trong mã như một tác nhân chủ động luôn bật, một quá trình nền có thể tự khởi động các hành động mà không cần yêu cầu rõ ràng từ người dùng. Thêm vào đó, một tính năng gọi là autoDream dường như là hệ thống củng cố bộ nhớ, có thể giúp tác nhân giữ lại ngữ cảnh hoặc tóm tắt lịch sử phiên tự động.

Điều bất ngờ nhất là một thứ nội bộ gọi là Buddy System, dường như mô hình hóa hành vi của một người bạn đồng hành AI, với các thuộc tính theo dõi mức độ hỗn loạn và châm biếm. Liệu đây có phải là một tính năng sản phẩm nghiêm túc hay chỉ là một thử nghiệm nội bộ vẫn chưa rõ, nhưng đã thu hút sự chú ý lớn trên mạng.

Về mặt an toàn và telemetry, mã nguồn tiết lộ rằng Claude Code ghi lại các biểu hiện của người dùng, bao gồm các câu chửi thề như wtf và ffs, và đánh dấu chúng là is_negative trong pipeline phân tích dữ liệu. Điều quan trọng hơn là phát hiện rằng các biện pháp bảo vệ an ninh mạng của Claude Code được thực hiện dưới dạng chuỗi prompt dạng văn bản thuần túy thay vì logic mã cứng, nghĩa là chúng có thể thay thế hoặc chỉnh sửa dễ dàng mà không cần thay đổi hệ thống sâu. Ngoài ra, mã còn chứa hơn 44 cờ tính năng, phần lớn trong số đó không công khai trong tài liệu.

Mã nguồn cũng cho thấy hơn 120 tên công cụ nhà phát triển đã được mã hóa cứng để xử lý đặc biệt trong sản phẩm, gợi ý rằng Claude Code đã được tinh chỉnh để nhận diện và tương tác khác biệt với các tích hợp cụ thể.

Phản Ứng Cộng Đồng và Các Fork

Cộng đồng nhà phát triển phản ứng nhanh chóng. Chỉ trong vài giờ sau khi kho lưu trữ trở thành công khai, nhiều dự án nhánh đã xuất hiện.

Một fork tên là OpenCode, được thiết kế để loại bỏ các phụ thuộc mô hình đặc thù của Claude và thay thế bằng một backend mô-đun có thể định tuyến yêu cầu đến bất kỳ mô hình ngôn ngữ lớn nào, bao gồm GPT, Llama và các mô hình khác. Mục đích là sử dụng các mẫu kiến trúc của Claude Code trong khi làm cho hệ thống trở nên không phụ thuộc vào mô hình cụ thể nào.

Một fork khác, tên là free-code, đi xa hơn. Nó loại bỏ telemetry, vô hiệu hóa các lớp an toàn, và kích hoạt các tính năng thử nghiệm. Để tránh bị gỡ bỏ theo DMCA, nó được phân phối qua IPFS thay vì nền tảng lưu trữ tập trung.

Cả hai fork đều đặt ra các câu hỏi pháp lý ngay lập tức. Mã nguồn là sở hữu trí tuệ độc quyền. Phân phối lại và sử dụng phái sinh mà không có giấy phép có thể vi phạm bản quyền theo luật pháp nhiều nơi. Một số thành viên cộng đồng còn nhấn mạnh rằng việc phân tích chi tiết mã nguồn cũng có thể gây rủi ro pháp lý tùy theo hoàn cảnh. Dù vậy, mã vẫn tiếp tục lan truyền nhanh chóng.

Bối cảnh và Các Sự cố Trước Đó

Thời điểm này không thể tồi tệ hơn đối với Anthropic. Chỉ vài ngày trước sự cố mã nguồn, công ty đã gặp phải một lỗ hổng riêng khi các tài liệu và bài blog chưa công bố về mô hình Mythos bị vô tình để lộ trong bộ đệm dữ liệu công khai. Sự cố này gây xấu hổ. Còn lần này còn gây thiệt hại lớn hơn về mặt sở hữu trí tuệ.

Anthropic hiện đang hoạt động với doanh thu hàng năm ước tính khoảng 19 tỷ đô la tính đến đầu năm 2026, và Claude Code đặc biệt được cho là tạo ra khoảng 2.5 tỷ đô la doanh thu định kỳ hàng năm — một con số được cho là đã hơn gấp đôi trong vài tháng đầu năm. Sản phẩm này đóng vai trò trung tâm trong chiến lược thương mại của công ty.

Điều mỉa mai được nhiều bình luận nhận thấy là chính trưởng bộ phận của Claude Code của Anthropic đã công khai nói vào cuối 2025 rằng 100% các đóng góp gần đây của ông cho sản phẩm đều do Claude Code tự viết. Phần lớn cộng đồng cho rằng lỗi đóng gói gây ra việc bao gồm tệp mã nguồn có thể là kết quả của quá trình build tự động hoạt động mà không có sự xem xét của con người — nói cách khác, một sản phẩm phần nào do AI hình thành có thể đã bị phá hỏng bởi chính tự động hóa đó. Đây là suy đoán chưa xác nhận, nhưng câu chuyện đã gây chú ý lớn.

Một đánh giá mã nguồn hỗ trợ AI của kho mã bị rò rỉ, được cho là chạy qua GPT-5.4 và một mô hình Claude cao cấp, cho điểm 6.5/10, với nhận định là mã thể hiện dấu hiệu tối ưu hóa dưới áp lực và vá lỗi theo vòng lặp chứ không phải thiết kế nền tảng sạch sẽ.
Phản Ứng của Anthropic

Một phát ngôn viên của Anthropic xác nhận sự cố qua một tuyên bố ngắn: hôm nay, một bản phát hành Claude Code đã bao gồm một số mã nguồn nội bộ. Công ty khẳng định không có dữ liệu khách hàng hay thông tin đăng nhập nào bị lộ hoặc liên quan. Phiên bản npm bị ảnh hưởng đã nhanh chóng bị gỡ bỏ. Khi được hỏi về việc công ty có dự định theo đuổi pháp lý đối với những người đã đăng hoặc fork các kho lưu trữ bị lộ hay không, Anthropic từ chối bình luận ngoài tuyên bố ban đầu.

Tính đến đầu tháng 4 năm 2026, các ghi chú phát hành công khai vẫn ghi rõ phiên bản 2.1.88 là bản mới nhất của Claude Code, và đường dẫn phân phối npm được liệt kê trong tài liệu như một phương thức tương thích đã lỗi thời, cho thấy công ty đã bắt đầu chuyển sang các cơ chế phân phối khác.