Vụ rò rỉ mã nguồn của Anthropic năm 2026: Mã nguồn CLI của Claude bị lộ do lỗi bản đồ nguồn npm

Sự cố rò rỉ npm của Claude Code tiết lộ các tính năng chưa được phát hành bao gồm KAIROS, BUDDY và Agent Swarms

Công ty đã xác nhận sự cố này vào ngày 31 tháng 3 năm 2026, trong cuộc phỏng vấn với Venture Beat, và cho rằng nguyên nhân là do lỗi của con người trong quá trình đóng gói phát hành. Phiên bản 2.1.88 của @anthropic-ai/claude-code được phát hành kèm theo một tệp bản đồ nguồn Javascript có dung lượng 59,8 MB. Đây cơ bản là một tài liệu gỡ lỗi giúp ánh xạ mã sản xuất đã được nén trở lại mã Typescript gốc, và nó dẫn trực tiếp đến một tệp zip có thể truy cập công khai nằm trên kho lưu trữ Cloudflare R2 của chính Anthropic.

Không ai cần phải hack gì cả. Tệp đó chỉ đơn giản là ở đó.

Nhà nghiên cứu bảo mật Chaofan Shou, một thực tập sinh tại công ty bảo mật blockchain Fuzzland, đã phát hiện ra vấn đề và đăng liên kết trực tiếp đến bucket trên X. Chỉ trong vài giờ, các kho lưu trữ được sao chép đã xuất hiện trên GitHub, một số trong đó thu hút hàng chục nghìn lượt đánh dấu sao trước khi các yêu cầu gỡ bỏ theo DMCA của Anthropic được thực thi. Các thành viên cộng đồng đã bắt đầu trích xuất dữ liệu telemetry, kích hoạt các cờ tính năng ẩn và soạn thảo các bản triển khai lại trong môi trường cách ly bằng Python và Rust để tránh các vấn đề bản quyền.

Nguyên nhân gốc rễ rất đơn giản: Trình đóng gói (bundler) của Bun tạo bản đồ nguồn (source maps) theo mặc định, và không có bước xây dựng nào loại trừ hoặc vô hiệu hóa tệp gỡ lỗi trước khi phát hành. Việc thiếu một mục trong tệp .npmignore hoặc trường files trong package.json đã có thể ngăn chặn toàn bộ sự việc.

Những gì các nhà phát triển tìm thấy bên trong rất chi tiết. Khoảng 1.900 tệp Typescript bao gồm logic thực thi công cụ, sơ đồ quyền hạn, hệ thống bộ nhớ, dữ liệu theo dõi, lời nhắc hệ thống và cờ tính năng — một cái nhìn toàn diện về cách Anthropic xây dựng công cụ lập trình có khả năng tự chủ ở mức sản xuất. Dữ liệu theo dõi quét các lời nhắc để phát hiện ngôn ngữ thô tục như một tín hiệu bực bội nhưng không ghi lại toàn bộ cuộc trò chuyện của người dùng hoặc mã nguồn. Chế độ "undercover" hướng dẫn AI loại bỏ các tham chiếu đến tên mã nội bộ và chi tiết dự án khỏi các cam kết Git và yêu cầu kéo.

Một số tính năng chưa phát hành được ẩn sau các cờ. KAIROS được mô tả là một daemon nền luôn hoạt động, theo dõi tệp, ghi lại sự kiện và chạy quá trình "dreaming" (tổng hợp bộ nhớ) trong thời gian nhàn rỗi. BUDDY là một "thú cưng" trên terminal với 18 loài — bao gồm cả capybara — mang các chỉ số như DEBUGGING, PATIENCE và CHAOS. CHẾ ĐỘ COORDINATOR cho phép một tác nhân duy nhất tạo ra và quản lý các tác nhân làm việc song song. ULTRAPLAN lên lịch các phiên lập kế hoạch đa tác nhân từ xa kéo dài 10 đến 30 phút.

Anthropic cho biết với Venture Beat rằng sự cố này không liên quan đến dữ liệu nhạy cảm của khách hàng, thông tin đăng nhập, cũng như không làm lộ trọng số mô hình hay hạ tầng suy luận. "Đây là vấn đề đóng gói bản phát hành do lỗi con người gây ra," công ty cho biết, đồng thời cho biết họ đang triển khai các biện pháp để ngăn chặn sự cố tương tự tái diễn.

Các biện pháp này có thể cần được triển khai nhanh chóng. Đây là lần thứ hai cùng một sai lầm xảy ra. Một sự cố rò rỉ bản đồ nguồn gần như giống hệt đã xảy ra với phiên bản trước đó của Claude Code vào tháng 2 năm 2025.

Vụ việc ngày 31 tháng 3 cũng diễn ra cùng thời điểm với một cuộc tấn công chuỗi cung ứng npm nhắm vào gói axios, diễn ra từ 00:21 đến 03:29 UTC. Các nhà phát triển đã cài đặt hoặc cập nhật Claude Code qua npm trong khoảng thời gian đó được khuyến cáo kiểm tra lại các phụ thuộc và thay đổi thông tin đăng nhập. Anthropic khuyến nghị sử dụng trình cài đặt gốc thay vì npm trong tương lai.

Bối cảnh ở đây rất quan trọng. Năm ngày trước đó, vào ngày 26 tháng 3, một lỗi cấu hình hệ thống quản lý nội dung (CMS) tại Anthropic đã lộ ra khoảng 3.000 tệp nội bộ chứa chi tiết về mô hình "Claude Mythos" chưa được phát hành, cũng được cho là do lỗi của con người. Hai vụ rò rỉ thông tin vô ý đáng kể trong vòng chưa đầy một tuần đã đặt ra câu hỏi về quy trình phát hành an toàn tại một công ty mà các công cụ của họ đang được sử dụng tích cực để viết và triển khai mã nguồn quy mô lớn.

Mã nguồn bị rò rỉ vẫn có sẵn dưới dạng lưu trữ và sao chép mặc dù đã có các biện pháp gỡ bỏ tích cực. Anthropic chưa công bố báo cáo phân tích sau sự cố hoặc tuyên bố công khai nào ngoài bình luận gửi cho Venture Beat.

Không có dữ liệu người dùng nào bị lộ. Các mô hình Claude cốt lõi không bị ảnh hưởng. Tuy nhiên, bản thiết kế để xây dựng một đối thủ cạnh tranh với Claude Code giờ đây đã dễ dàng hơn đáng kể.

Câu hỏi thường gặp 🔎

• Câu hỏi: Vụ rò rỉ mã nguồn Claude Code có phải là một vụ hack không? Không — Anthropic xác nhận rằng vụ rò rỉ này là do lỗi đóng gói, không phải do vi phạm bảo mật hay truy cập trái phép.
• Hỏi: Thực tế những gì đã bị lộ trong vụ rò rỉ npm của Anthropic? Khoảng 512.000 dòng mã TypeScript liên quan đến giao diện dòng lệnh (CLI) của Claude Code, bao gồm dữ liệu theo dõi, cờ tính năng, tính năng ẩn và kiến trúc đại lý — không bao gồm trọng số mô hình hay dữ liệu khách hàng.
• Hỏi: Dữ liệu của tôi có bị đe dọa bởi sự cố npm của Claude Code không? Anthropic cho biết không có dữ liệu người dùng hoặc thông tin đăng nhập nào bị rò rỉ; các nhà phát triển đã cài đặt qua npm trong khoảng thời gian xảy ra cuộc tấn công chuỗi cung ứng axios đồng thời nên kiểm tra các phụ thuộc và thay đổi thông tin đăng nhập.
• Hỏi: Anthropic đã từng rò rỉ mã nguồn trước đây chưa? Có — một vụ rò rỉ bản đồ nguồn gần như giống hệt liên quan đến phiên bản Claude Code trước đó đã xảy ra vào tháng 2 năm 2025, khiến đây trở thành sự cố thứ hai trong khoảng 13 tháng.