#ClaudeCode500KCodeLeak

Vào ngày 31 tháng 3 năm 2026, Anthropic vô tình để lộ hơn 512.000 dòng mã TypeScript độc quyền của mình ra internet công cộng.
Nguyên nhân không phức tạp. Đó là do vận hành.
Một tệp .map — một artifact gỡ lỗi dùng để tái tạo mã đã bị rút gọn — đã không được loại trừ qua .npmignore trong quá trình cập nhật định kỳ gói npm Claude Code. Trong môi trường sản xuất, bản đồ nguồn (source maps) không bao giờ được gửi đi. Nhưng lần này đã có.

Tệp này có thể truy cập qua liên kết bucket Cloudflare R2 nhúng trong metadata của gói. Trong vòng vài giờ, nhà nghiên cứu bảo mật Chaofan Shou đã xác định và chia sẻ nó. Bài đăng đã tiếp cận hàng chục triệu người. Hàng nghìn nhà phát triển đã fork repository trước khi các nỗ lực gỡ bỏ bắt đầu.
Đến khi Anthropic xóa hàng nghìn bản sao khỏi GitHub, mã đã được lưu trữ, sao chép, và phân phối trên các khu vực pháp lý vượt quá khả năng thực thi hiệu quả. Lúc đó, việc kiểm soát đã không còn khả thi nữa.
Câu chuyện quan trọng hơn không phải là vụ rò rỉ, mà là những gì nó đã tiết lộ.
Mã bị lộ xác nhận rằng Claude Code hoạt động như một agent dựa trên CLI được xây dựng bằng TypeScript, chạy trên Bun và hiển thị bằng React-Ink. Điều này đã được dự đoán từ trước. Những gì chưa từng rõ ràng là lớp kiểm soát nội bộ.

Một tính năng, được gọi là “Chế độ Bí mật” (Undercover Mode) và đánh dấu là quan trọng, được thiết kế để ngăn mô hình tiết lộ tên dự án nội bộ và chi tiết hạ tầng khi tương tác trong môi trường mã nguồn mở. Sự có mặt của nó nhấn mạnh sự tập trung có chủ đích vào an ninh prompt và kiểm soát tiết lộ. Việc nó bị lộ ra cho thấy giới hạn của lớp kiểm soát đó.
Cơ sở mã tham chiếu khoảng 44 cờ tính năng, bao gồm một daemon nền chưa phát hành tên KAIROS và các biến thể mô hình nội bộ như “Capybara,” được cho là tương ứng với phiên bản Claude 4.6. Các chuỗi khác còn gợi ý về quá trình phát triển các biến thể Opus mới hơn. Không có thông tin nào trong số này dự định công khai.
Điều quan trọng hơn là kiến trúc của chính nó.

Hệ thống bộ nhớ theo thiết kế ba lớp: một tệp chỉ mục trung tâm, các module theo chủ đề được tải theo yêu cầu, và toàn bộ bản ghi phiên làm việc được giữ lại để truy xuất ngữ nghĩa. Điều này phản ánh một lựa chọn thiết kế rõ ràng hướng tới tải chậm ngữ cảnh thay vì tối đa hóa sử dụng cửa sổ hoạt động — một tối ưu hóa giảm áp lực token và nâng cao khả năng mở rộng.
Khung agent sử dụng mô hình fork-join dựa trên kế thừa cache KV. Các subagent nhận trạng thái ngữ cảnh đầy đủ mà không cần tính toán lại, cho phép phân luồng hiệu quả. Đây không phải là một chi tiết triển khai nhỏ; nó thể hiện nhiều tháng thiết kế hạ tầng, giờ đây đã được ghi chép rõ ràng.

Phản hồi của Anthropic, do kỹ sư Boris Cherny cung cấp, quy kết vụ việc là do bỏ lỡ một bước triển khai. Công ty đã thực hiện các kiểm tra tự động, bao gồm các bước xác minh được hỗ trợ bởi chính Claude. Quan trọng là, không có dữ liệu khách hàng nào bị lộ. Vụ rò rỉ chỉ giới hạn trong kiến trúc nội bộ.
Tuy nhiên, tác động kinh doanh là rất lớn.

Claude Code ước tính tạo ra khoảng 2,5 tỷ USD doanh thu định kỳ hàng năm, phần lớn đến từ khách hàng doanh nghiệp. Những khách hàng này không chỉ mua khả năng — họ còn mua sự tự tin vào giới hạn an ninh của hệ thống và thiết kế độc quyền.
Sự tự tin đó giờ đây đã yếu đi về mặt cấu trúc.

Không phải vì hệ thống bị xâm phạm, mà vì logic nội bộ của nó không còn mập mờ nữa. Các bề mặt tấn công dễ nghiên cứu hơn khi cấu trúc của chúng rõ ràng. Các cơ chế phòng thủ dễ bị thăm dò hơn khi điều kiện của chúng được biết rõ.
Thời điểm xảy ra vụ rò rỉ còn làm tăng tác động. Cùng ngày, một vụ rò rỉ dữ liệu 4TB từ nền tảng tuyển dụng AI Mercor cũng xuất hiện. Sự trùng lặp này làm loãng sự chú ý, nhưng không làm giảm ý nghĩa của cả hai sự kiện.
Trong khi đó, hệ sinh thái mã nguồn mở phản ứng ngay lập tức.

Trong vòng vài ngày, đã xuất hiện hai dự án. Một là tái triển khai bằng Python trong môi trường sạch (Clean-room Python) nhằm tái tạo chức năng mà không dùng mã gốc. Cái còn lại là một phiên bản không phụ thuộc mô hình, chuyển đổi kiến trúc qua nhiều backend AI. Các phương pháp sạch môi trường đã có tiền lệ pháp lý lâu dài, và việc chúng có vi phạm hay không vẫn còn là câu hỏi mở.

Vấn đề sâu xa không phải là vụ rò rỉ. Đó là sự sụp đổ của bất đối xứng thông tin.
Anthropic không chỉ mất mã nguồn. Họ mất lợi thế là tổ chức duy nhất đã giải quyết các vấn đề kỹ thuật cụ thể trong thiết kế agent — quản lý ngữ cảnh dưới hạn chế, phối hợp đa agent, và cơ chế tiết lộ có kiểm soát.
Những giải pháp đó giờ đây đã lộ diện.
Câu hỏi còn lại là nơi thực sự có rào chắn bảo vệ.

Nếu lợi thế chủ yếu nằm ở chất lượng mô hình, thiệt hại sẽ được kiểm soát. Các mô hình không thể bị đảo ngược từ một công cụ CLI. Nếu lợi thế nằm ở các quyết định kỹ thuật tích lũy ở lớp agent, tác động sẽ bền vững hơn.
Thực tế có thể là sự kết hợp của cả hai.
Mức độ quan trọng của điều này sẽ rõ ràng hơn trong mười hai tháng tới.