Rò rỉ mã của Claude kích hoạt khủng hoảng LLM, tin tặc đã đánh cắp ETH của các nhà nghiên cứu

Ngày 10 tháng 4, các nhà nghiên cứu an ninh đã công bố một lỗ hổng bảo mật chuỗi cung ứng mang tính hệ thống trong hệ sinh thái LLM: trong một thử nghiệm thực địa nhắm vào 428 bộ định tuyến API của bên thứ ba, hơn 20% các bộ định tuyến miễn phí được phát hiện đang chủ động chèn mã độc, trong đó một bộ định tuyến đã thành công đánh cắp ETH từ khóa riêng do các nhà nghiên cứu kiểm soát.

Lỗ hổng chuỗi cung ứng của bộ định tuyến LLM: Rủi ro mang tính hệ thống được dữ liệu nghiên cứu tiết lộ

Nhà nghiên cứu trên mạng xã hội @Fried_rice cho biết bộ định tuyến API của bên thứ ba được sử dụng rộng rãi trong hệ sinh thái tác nhân LLM thực chất là một proxy lớp ứng dụng được cài giữa phía client và nhà cung cấp mô hình thượng nguồn, có thể đọc ở dạng văn bản thuần từng JSON payload trong mỗi luồng truyền. Vấn đề cốt lõi là hiện tại không có nhà cung cấp bộ định tuyến nào buộc thực thi bảo vệ toàn vẹn mã hóa giữa client và mô hình thượng nguồn, khiến bộ định tuyến trở thành điểm chèn vào có giá trị cao đối với các cuộc tấn công chuỗi cung ứng.

Bốn phát hiện chính từ thử nghiệm nghiên cứu

Chèn mã độc chủ động: 1 bộ định tuyến trả phí và 8 bộ định tuyến miễn phí (hơn 20%) đang chủ động chèn mã độc vào payload trong quá trình truyền

Cơ chế né tránh thích ứng: 2 bộ định tuyến đã triển khai các bộ kích hoạt có thể né tránh phát hiện theo cách động, có thể ẩn hành vi độc hại khi tiến hành kiểm tra an toàn

Thăm dò chủ động bằng thông tin xác thực: 17 bộ định tuyến đã chạm vào chứng chỉ AWS Canary do nhóm nghiên cứu triển khai, cho thấy có các nỗ lực trộm thông tin xác thực chủ động

Trộm tài sản mã hóa: 1 bộ định tuyến đã đánh cắp ETH từ khóa riêng do nhóm nghiên cứu nắm giữ, xác nhận lỗ hổng đã có thể trực tiếp dẫn đến mất mát tài sản trên chuỗi

Thí nghiệm đầu độc tiếp tục cho thấy mức độ của lỗ hổng: một khóa API OpenAI bị rò rỉ được dùng để tạo ra 1 trăm triệu GPT-5.4 token; các mồi nhử có cấu hình yếu hơn tạo ra 2 tỷ token tính phí, 99 bộ thông tin xác thực vượt qua 440 phiên Codex, và 401 phiên đã chạy ở chế độ tự chủ “YOLO mode”.

Rò rỉ mã của Claude: Chuỗi tấn công từ sơ suất của con người đến việc bị tin tặc khai thác

Vào cuối tháng 3 năm 2026, một tệp ánh xạ mã nguồn Java (Source Map File) trong kho lưu trữ NPM của mã Claude đã vô tình bị công khai, sau đó một lượng lớn nhà phát triển đã tải xuống và lan truyền. Anthropic thừa nhận đúng là đã có sự rò rỉ mã nguồn nội bộ, nguyên nhân là do sơ suất của con người.

Tuy nhiên, tin tặc nhanh chóng biến sự cố này thành một vectơ tấn công. Zscaler phát hiện kẻ tấn công đã phát tán các gói ZIP trên GitHub dưới tên “Claude Code Leak”, tuyên bố rằng bên trong có một phiên bản mã Claude đặc biệt, được biên dịch từ mã nguồn bị rò rỉ và có các chức năng cấp doanh nghiệp, đồng thời không bị ràng buộc giới hạn về tin nhắn. Nếu nhà phát triển làm theo hướng dẫn để thực thi, thiết bị sẽ bị cài phần mềm đánh cắp dữ liệu Vidar và công cụ máy chủ proxy GhostSocks. Chuỗi tấn công này khai thác đúng sự tò mò của nhà phát triển và sự chú ý đối với sự kiện rò rỉ chính thức, là một kiểu tấn công phức hợp điển hình kết hợp kỹ thuật xã hội với phần mềm độc hại.

Cơ chế phòng thủ: Ba lớp bảo vệ phía client đã được nghiên cứu và xác minh

Nhóm nghiên cứu đồng thời phát triển một proxy nghiên cứu tên là Mine, và đã xác minh ba cơ chế phòng vệ hiệu quả đối với phía client:

Chiến lược chốt chặn sự cố (Circuit Breaker Policy Gating): tự động ngắt kết nối khi phát hiện hành vi bất thường của bộ định tuyến, nhằm ngăn không cho lệnh độc hại được truyền đi

Sàng lọc bất thường ở phía phản hồi (Response-side Anomaly Screening): xác thực tính toàn vẹn đối với các phản hồi mà bộ định tuyến trả về, nhận diện nội dung đã bị can thiệp

Chỉ ghi nhật ký minh bạch dạng chỉ thêm (Append-only Transparent Logging): thiết lập nhật ký kiểm toán thao tác không thể bị sửa đổi, để phục vụ truy vết và phân tích sau đó

Câu hỏi thường gặp

Bộ định tuyến LLM API là gì, và việc nó tồn tại tạo ra rủi ro an ninh chuỗi cung ứng như thế nào?

Bộ định tuyến LLM API là một dịch vụ bên thứ ba đóng vai trò proxy giữa ứng dụng AI và nhà cung cấp mô hình thượng nguồn, có thể phân phối yêu cầu gọi công cụ cho nhiều nhà cung cấp thượng nguồn. Vì bộ định tuyến có thể đọc ở dạng văn bản thuần tất cả JSON payload trong quá trình truyền, và hiện thiếu bảo vệ mã hóa đầu-cuối, nên một bộ định tuyến độc hại hoặc bị xâm nhập có thể chèn mã độc, trộm thông tin xác thực API hoặc trộm tài sản mã hóa trong điều kiện người dùng không hề hay biết.

Nguyên nhân của sự kiện rò rỉ mã của Claude là gì, và vì sao tin tặc đã khai thác nó?

Việc rò rỉ mã của Claude bắt nguồn từ việc một nhân viên nội bộ của Anthropic vô tình công khai tệp ánh xạ mã nguồn Java trong kho lưu trữ NPM. Sau khi sự cố rò rỉ thu hút sự quan tâm rộng rãi, tin tặc đã tận dụng sự tò mò của nhà phát triển đối với nội dung bị rò rỉ để phát tán trên GitHub các gói nén độc hại được ngụy trang như mã rò rỉ, thành công trong việc dẫn dắt người dùng mục tiêu tự cài đặt phần mềm độc hại.

Các nhà phát triển có thể bảo vệ bản thân như thế nào trong các cuộc tấn công chuỗi cung ứng kiểu này?

Các biện pháp phòng vệ then chốt bao gồm: chỉ sử dụng các dịch vụ bộ định tuyến đến từ bên tin cậy và có hồ sơ kiểm toán an toàn rõ ràng; từ chối tải xuống mã “phiên bản đặc biệt” được tuyên bố từ các kênh không chính thức; áp dụng nguyên tắc quyền truy cập tối thiểu trong quản lý thông tin xác thực API; và bật cơ chế phát hiện bất thường ở phía phản hồi trong khung tác nhân LLM để tránh việc mất mát tài sản trên chuỗi do bộ định tuyến bị xâm nhập.