Anthropic để lộ toàn bộ mã nguồn Claude Code lần thứ hai, tiết lộ hàng loạt tính năng bí mật chưa từng công bố

Claude Code là công cụ lập trình AI của Anthropic, cho phép người dùng ra lệnh bằng ngôn ngữ tự nhiên để viết code, sửa lỗi và quản lý dự án phần mềm. Công cụ này được phân phối qua npm, một kho phần mềm công khai mà lập trình viên dùng để tải và cập nhật các công cụ lập trình.

Sự cố bắt đầu vào khoảng 4 giờ sáng ngày 31/3 theo giờ Mỹ, khi Chaofan Shou, một kỹ sư phần mềm đang thực tập, phát hiện bản cập nhật Claude Code phiên bản mới nhất có kèm theo một file nặng gần 60 MB mà Anthropic không hề có ý định công khai. File này hoạt động như một "bản đồ" trỏ thẳng đến kho lưu trữ dữ liệu của Anthropic trên internet, nơi chứa toàn bộ mã nguồn gốc của Claude Code dưới dạng một file ZIP có thể tải về tự do.

Shou đăng bài trên mạng xã hội kèm đường link tải thẳng. Trong vòng 30 phút, lập trình viên khắp thế giới bắt đầu tải về và phân tích. Đến cuối ngày, một kho lưu trữ bản sao trên GitHub đạt gần 30.000 lượt yêu thích và hơn 41.500 lượt sao chép.

Bị lộ những gì?

Anthropic xác nhận sự việc: "Đây là lỗi đóng gói trong quá trình phát hành do sai sót con người, không phải vi phạm bảo mật. Không có dữ liệu khách hàng hay thông tin tài khoản nào bị lộ. Chúng tôi đang triển khai các biện pháp để ngăn chặn điều này tái diễn".

Để hình dung đơn giản: những gì bị lộ là toàn bộ "bản vẽ thiết kế" của ứng dụng Claude Code - cách nó được xây dựng, cách các tính năng hoạt động bên trong, và cả những tính năng chưa từng được công bố đang được phát triển. Dữ liệu cuộc trò chuyện của người dùng, thông tin tài khoản, hay "trí não" của mô hình AI đều không bị ảnh hưởng.

Con số cụ thể: hơn 1.900 file, 512.000 dòng mã - quy mô tương đương một phần mềm thương mại lớn.

Những tính năng bí mật chưa từng được công bố

Phần gây chú ý nhất không phải là những gì Claude Code đang làm, mà là những gì Anthropic đang âm thầm xây dựng và chưa cho người dùng biết.

KAIROS là tên mã của một chế độ hoàn toàn mới: Claude Code chạy liên tục trong nền mà không cần người dùng ra lệnh. Thay vì chỉ phản hồi khi được hỏi, KAIROS cho phép Claude Code tự quan sát, ghi chú và chủ động thực hiện các tác vụ nhỏ khi nhận thấy cơ hội phù hợp. Để tránh làm phiền, hệ thống có giới hạn: bất kỳ hành động nào mất hơn 15 giây đều bị hoãn lại.

Gắn với KAIROS là hệ thống có tên autoDream. Khi người dùng không hoạt động, một tiến trình nền tự động chạy để "dọn dẹp" bộ nhớ của Claude Code - loại bỏ mâu thuẫn, xác nhận lại các thông tin chưa chắc chắn và sắp xếp lại kiến thức về dự án. Cái tên "mơ" là có chủ ý: đây là Claude đang "ngủ và xử lý lại những gì đã học trong ngày".

ULTRAPLAN xử lý những tác vụ lập kế hoạch quá phức tạp để làm trong vài giây. Khi được kích hoạt, Claude Code chuyển toàn bộ bài toán lên máy chủ của Anthropic, cho phép hệ thống suy nghĩ tối đa 30 phút, rồi hiển thị kết quả để người dùng xem xét và phê duyệt qua trình duyệt web trước khi thực thi.

"Undercover Mode" và câu hỏi về minh bạch

Chi tiết gây tranh luận nhiều nhất là một hệ thống có tên Undercover Mode.

Khi Claude Code hoạt động trong các dự án phần mềm mã nguồn mở công khai, một chế độ đặc biệt tự động kích hoạt, xóa mọi dấu hiệu cho thấy code được viết hoặc hỗ trợ bởi AI của Anthropic. Các ghi chú lịch sử thay đổi trên Git sẽ không chứa bất kỳ tên mã nội bộ hay dấu vết nào của Anthropic. Nội dung tìm thấy trong mã nguồn bị lộ ghi rõ: "Bạn đang hoạt động bí mật... Đừng để lộ danh tính".

Mục đích có thể là để Anthropic dùng chính công cụ của mình trong quá trình phát triển nội bộ mà không để lộ thông tin nhạy cảm ra bên ngoài. Tuy nhiên, việc tồn tại một cơ chế chủ động xóa dấu vết AI trong các dự án công khai đã làm dấy lên câu hỏi về tính minh bạch khi AI tham gia đóng góp vào phần mềm mà hàng triệu người đang sử dụng.

Irony không thể bỏ qua: Anthropic tốn công xây hệ thống để đảm bảo AI không bao giờ bị lộ thông tin nội bộ trong các dự án công khai, rồi chính Anthropic lại để lộ toàn bộ thiết kế của hệ thống đó qua một lỗi cập nhật phần mềm.

Lần thứ hai trong một năm, lần thứ hai trong 5 ngày

Sự cố tương tự đã xảy ra vào tháng 2/2025. Lần đó Anthropic phát hiện kịp thời và xóa các phiên bản bị lỗi trước khi thiệt hại lan rộng.

Điều đáng chú ý hơn: đây là lần thứ hai Anthropic để lộ thông tin nội bộ chỉ trong 5 ngày. Ngày 26/3, tờ Fortune đưa tin một lỗi cấu hình trong hệ thống quản lý nội dung của Anthropic khiến gần 3.000 tài liệu chưa được công bố trở nên truy cập được công khai, bao gồm thông tin về model AI mới chưa ra mắt. Anthropic khi đó cũng xác nhận đây là "sai sót con người".

Anthropic đã gỡ bỏ bản cập nhật bị lỗi và khuyến nghị người dùng chuyển sang cài đặt Claude Code qua đường dẫn chính thức thay vì qua kho phần mềm npm, vì cách cài đặt trực tiếp không phụ thuộc vào các thư viện bên thứ ba có thể bị tấn công. Tuy nhiên đến khi Anthropic hành động, ít nhất 3 bản sao công khai của mã nguồn đã xuất hiện trên GitHub với hàng chục nghìn lượt sao chép.

Cảnh báo cho người cập nhật Claude Code trong sáng 31/3

Ngoài vụ rò rỉ mã nguồn, có một nguy cơ bảo mật thực sự và tách biệt cần lưu ý. Trong khoảng từ 7 giờ 21 đến 10 giờ 29 phút sáng theo giờ Việt Nam ngày 31/3, một cuộc tấn công riêng biệt vào kho phần mềm npm đã phát tán một phiên bản độc hại của axios, một thư viện mà Claude Code sử dụng. Phiên bản này chứa mã độc cho phép kẻ tấn công truy cập từ xa vào máy tính của nạn nhân.

Người dùng đã cài hoặc cập nhật Claude Code qua npm trong khung giờ này nên nhờ người có chuyên môn kỹ thuật kiểm tra thiết bị, thay thế toàn bộ mật khẩu và mã xác thực đang sử dụng trên máy đó, và cân nhắc cài lại hệ điều hành nếu cần.