Anthropic tự tiết lộ mã nguồn và sau đó gửi hơn 8000 yêu cầu rút bỏ bản quyền, hình tượng "An toàn trên hết" gặp phải tuần lễ khó xử nhất

作者：深潮 TechFlow

Anthropic do một lần cấu hình sai khi phát hành gói npm khiến toàn bộ mã nguồn của sản phẩm kiếm tiền nhiều nhất là Claude Code bị công khai nhầm. Trong vài giờ, khoảng 512.000 dòng mã TypeScript đã được hàng chục nghìn nhà phát triển sao chép, phân tích và dùng AI viết lại thành các phiên bản Python và Rust. Ngay sau đó, Anthropic gửi yêu cầu gỡ bỏ bản quyền DMCA tới GitHub, ảnh hưởng đến khoảng 8100 kho mã, nhưng do gây “bắn nhầm” nhiều dự án không liên quan khiến cộng đồng phản đối mạnh mẽ, cuối cùng buộc phải rút lại phần lớn yêu cầu, chỉ giữ lại việc gỡ bỏ đối với 1 kho và 96 nhánh (fork). Đây là vụ rò rỉ lớn thứ hai của Anthropic trong vòng một tuần, chỉ cách vụ rò rỉ thông tin mô hình Mythos của họ năm ngày.

Với Anthropic—mang “AI an toàn” làm cốt lõi thương hiệu—họ đang trải qua một tuần khó khăn nhất kể từ khi thành lập.

Theo tờ The Wall Street Journal ngày 1 tháng 4, trong một lần cập nhật phiên bản thường kỳ vào ngày 31 tháng 3, Anthropic đã phát hành toàn bộ mã nguồn của Claude Code cùng với gói npm, do sai sót thao tác của con người trong quy trình xây dựng. Nhà nghiên cứu an ninh Chaofan Shou lúc 4:23 sáng giờ miền Đông đã công khai một liên kết tải về trên nền tảng X, khiến lượt xem bài viết nhanh chóng vượt 21 triệu. Chỉ trong vài giờ, mã nguồn được nhân bản lên GitHub và nhận được hàng chục nghìn lượt sao. Một nhà phát triển Hàn Quốc là Sigrid Jin thậm chí trước khi trời sáng đã dùng công cụ AI để viết lại toàn bộ kho mã thành phiên bản Python; dự án này trong vòng hai giờ thu về 50.000 lượt sao GitHub, rất có thể lập kỷ lục về tốc độ tăng trưởng nhanh nhất trên nền tảng này.

Người phát ngôn của Anthropic xác nhận sự thật về vụ rò rỉ với CNBC, cho biết: “Đây là một sự cố đóng gói phát hành do lỗi của con người, không phải lỗ hổng bảo mật. Không liên quan tới hoặc lộ dữ liệu hay thông tin xác thực khách hàng nhạy cảm nào.”

Một mục cấu hình bị thiếu, lộ 512.000 dòng mã lõi

Nguyên nhân kỹ thuật của vụ rò rỉ không quá phức tạp. Claude Code được xây dựng dựa trên Bun (công cụ runtime JavaScript mà Anthropic đã mua lại vào cuối năm 2025). Mặc định Bun sẽ tạo các tệp debug source map. Nhóm phát hành khi đẩy gói npm đã không loại trừ tệp này trong cấu hình .npmignore, khiến một tệp source map dung lượng 59,8MB được đưa lên cùng với phiên bản Claude Code 2.1.88. Tệp này chứa toàn bộ nội dung của khoảng 1900 tệp TypeScript, tổng cộng khoảng 512.000 dòng mã—có thể đọc được, có chú thích, và không hề bị che giấu (obfuscate) bất kỳ kiểu nào.

Trưởng nhóm phụ trách Claude Code là Boris Cherny thừa nhận: “Quy trình triển khai của chúng tôi có vài bước thủ công, và một bước đã không được thực hiện đúng.” Ông bổ sung rằng nhóm đã khắc phục vấn đề và đang tăng thêm các kiểm tra tự động, đồng thời nhấn mạnh rằng các lỗi kiểu này chỉ ra vấn đề về quy trình hoặc hạ tầng, chứ không phải trách nhiệm của một cá nhân.

Đây không phải là lần đầu xảy ra. Tháng 2 năm 2025, một vụ rò rỉ gần như tương tự về source map từng lộ mã nguồn của phiên bản sớm của Claude Code. Cùng loại sự cố lặp lại trong vòng 13 tháng, khiến bên ngoài đặt câu hỏi về mức độ trưởng thành trong vận hành của công ty—đang có giá trị khoảng 3800 tỷ USD và chuẩn bị IPO.

Nhà phát triển phát hiện gì từ mã bị rò rỉ

Kho mã bị rò rỉ tương đương với một “bản lộ trình sản phẩm” mà Anthropic chưa từng định công khai. Theo phân tích của VentureBeat và nhiều nhà phát triển, mã có chứa 44 công tắc tính năng (feature flag), trong đó hơn 20 hạng mục đã hoàn tất phát triển nhưng vẫn chưa được phát hành.

Trong số được chú ý nhất có: một chế độ tiến trình bảo vệ tự chủ có tên “KAIROS”, cho phép Claude Code khi người dùng rảnh chạy liên tục ở chế độ nền như một tác nhân (agent) tự làm việc, có khả năng định kỳ sửa lỗi, thực hiện tác vụ và gửi thông báo đẩy cho người dùng; một kiến trúc “tự chữa lành” 3 lớp thông qua quy trình tích hợp trí nhớ có tên “dreaming”, hợp nhất các quan sát phân tán ở chế độ nền và loại bỏ mâu thuẫn logic; và một hệ thống phối hợp đa tác nhân hoàn chỉnh, có thể biến Claude Code từ một tác nhân đơn lẻ thành một bộ điều phối (coordinator) có khả năng sinh song song, chỉ huy và quản lý nhiều tác nhân làm việc.

Phát hiện gây tranh cãi nhất là một tệp có tên undercover.ts. Theo The Hacker News, tệp này khoảng 90 dòng mã. Khi nhân viên Anthropic dùng Claude Code để gửi mã cho các dự án mã nguồn mở, nó sẽ chèn lời nhắc hệ thống, chỉ thị Claude tuyệt đối không tiết lộ rằng mình là AI và gỡ bỏ mọi nhãn ghi nhận “Co-Authored-By”. Trong mã có viết: “Bạn đang thực hiện nhiệm vụ undercover trong một kho mã công khai/mã nguồn mở. Thông điệp commit của bạn, tiêu đề PR và nội dung PR không được bao gồm bất kỳ thông tin nội bộ nào của Anthropic. Không tiết lộ danh tính của bạn.”

Ngoài ra, mã còn chứa một cờ ANTI_DISTILLATION_CC, sẽ chèn các định nghĩa công cụ giả vào các yêu cầu API, nhằm mục đích làm nhiễu dữ liệu huấn luyện mà đối thủ cạnh tranh có thể chặn được. Trong mã cũng xuất hiện các mã hiệu mô hình nội bộ của Anthropic: Capybara tương ứng với một cấp mô hình mới chưa được phát hành, Fennec tương ứng với Opus 4.6 hiện có. Điều này khớp với thông tin mô hình Mythos bị rò rỉ năm ngày trước của Anthropic do lỗi cấu hình CMS.

Nhà sáng lập Code Wall, công ty an ninh mạng Paul Price, nói với Business Insider rằng vụ rò rỉ này “nói thì đúng hơn là gây xấu hổ hơn là gây thiệt hại thực tế. Giá trị thực sự nằm ở trọng số mô hình nội bộ, và những thứ đó đã không bị lộ.” Nhưng ông cũng chỉ ra rằng Claude Code là “một trong những kiến trúc công cụ tác nhân tốt nhất hiện nay”; giờ đây chúng ta có thể thấy họ giải quyết những vấn đề khó khăn như thế nào, điều này có giá trị tình báo rõ ràng đối với đối thủ.

8100 kho bị gỡ nhầm, DMCA “lật xe” gây phản ứng mạnh hơn

Sau khi mã lan truyền, Anthropic nhanh chóng nộp yêu cầu gỡ bỏ bản quyền theo DMCA của Hoa Kỳ lên GitHub. Theo hồ sơ công khai của GitHub, yêu cầu ban đầu ảnh hưởng đến khoảng 8100 kho mã. Nhưng vấn đề là, các kho bị gỡ bỏ không chỉ bao gồm các bản sao (mirror) chứa mã bị rò rỉ, mà còn có cả các nhánh hợp pháp của kho mã chính thức Claude Code mà chính Anthropic đã công khai phát hành.

Nhiều nhà phát triển bày tỏ tức giận trên nền tảng X. Nhà phát triển Danila Poyarkov cho biết ông chỉ đơn giản là fork một kho công khai của Anthropic thì đã nhận được thông báo gỡ bỏ. Một người dùng khác là Daniel San nhận được email từ GitHub cho thấy kho bị gỡ bỏ chỉ chứa ví dụ kỹ năng và tài liệu, hoàn toàn không liên quan đến mã bị rò rỉ. Một nhà phát triển thẳng thắn nói: “Luật sư của Anthropic vừa tỉnh dậy là đã gỡ kho của tôi ngay.”

Trước phản ứng của cộng đồng, Anthropic đã rút một phần yêu cầu vào ngày 1 tháng 4. Theo bản ghi việc rút yêu cầu trên GitHub, Anthropic thu hẹp phạm vi gỡ bỏ xuống còn 1 kho (nirholas/claude-code) và 96 URL fork được liệt kê riêng trong thông báo ban đầu; phần còn lại khoảng 8000 kho đã được GitHub khôi phục quyền truy cập.

Người phát ngôn của Anthropic cho TechCrunch biết: “Các kho được nêu trong thông báo thuộc mạng lưới fork liên kết với kho công khai Claude Code của chúng tôi, vì vậy các kho bị ảnh hưởng vượt ngoài dự kiến. Chúng tôi đã rút lại tất cả thông báo trừ một kho, và GitHub đã khôi phục quyền truy cập đối với các fork bị ảnh hưởng.”

Mã đã được lưu trữ vĩnh viễn trên nền tảng phi tập trung, DMCA có hiệu lực hạn chế

Hoạt động gỡ bỏ bản quyền theo DMCA của Anthropic đối mặt với một tình thế tiến thoái lưỡng nan căn bản: mã đã không thể đảo ngược việc lan truyền.

Theo Decrypt, nền tảng Git phi tập trung Gitlabw đã nhân bản toàn bộ mã nguồn gốc, kèm ghi chú “sẽ không bao giờ bị gỡ bỏ”. DMCA có hiệu lực với các nền tảng tập trung (như GitHub) vì nền tảng đó phải thực thi theo luật, nhưng không thể áp dụng quyền tài phán lên hạ tầng phi tập trung. Chỉ trong vài giờ sau khi rò rỉ xảy ra, mã đã đạt đến trạng thái công khai vĩnh viễn trên thực tế thông qua đủ nhiều bản nhân bản (mirrors) và các loại hạ tầng khác nhau.

Thậm chí đáng mỉa mai hơn, nhà phát triển Hàn Quốc Sigrid Jin dùng công cụ biên soạn/điều phối bằng AI oh-my-codex để viết lại toàn bộ kho mã từ TypeScript sang Python, dự án có tên claw-code. Người sáng lập The Pragmatic Engineer là Gergely Orosz trên X chỉ ra rằng đây là “viết lại phòng sạch” (clean-room rewrite), tạo thành một tác phẩm sáng tạo độc lập; về mặt thiết kế, nó nằm ngoài phạm vi mà DMCA có thể chạm tới. Nếu Anthropic cho rằng mã do AI viết lại vẫn xâm phạm bản quyền, thì điều đó lại làm suy yếu logic phản biện cốt lõi của các công ty AI trong các vụ kiện bản quyền dữ liệu huấn luyện—tức là việc AI tạo ra đầu ra từ các đầu vào được bảo hộ bản quyền cấu thành sử dụng hợp lý.

Sự khó xử về lập trường bản quyền: tự “đánh lại” hay là bắt buộc về mặt pháp lý?

Điểm căng thẳng được cộng đồng chú ý nhiều nhất trong sự kiện này nằm ở sự mâu thuẫn trong lập trường bản quyền. Anthropic vào tháng 9 năm 2025 đã bị tòa án phán quyết phải bồi thường 1,5 tỷ USD vì sử dụng sách lậu và huấn luyện Claude bằng thư viện bóng (shadow library); Reddit từ tháng 6 năm 2025 kiện Anthropic vì đã thu thập nội dung do người dùng tạo ra mà không được ủy quyền để huấn luyện mô hình. Một công ty vướng nhiều vụ kiện liên quan đến bản quyền dữ liệu huấn luyện, rồi lại quay sang dùng luật bản quyền để bảo vệ mã của mình—phản ứng của cộng đồng là có thể dự đoán.

Bình luận được vote cao trên Slashdot tóm tắt trực tiếp tâm trạng này: “‘Chúng tôi kiếm tiền từ những thứ chúng tôi công khai phát hành mà lấy cắp được, các bạn dám ăn cắp lại à!’—đó mới là lập trường.” Một người dùng khác cho rằng, xét từ góc độ chiến lược pháp lý, các hành động DMCA không hề vô lý: “Nếu Anthropic sau này muốn truy cứu trách nhiệm của các công ty khác khi dùng mã của họ, mà ngay cả việc khiến bên phân phối gỡ bỏ cũng họ chưa từng thử, thì khi ra tòa sẽ không thuyết phục.”

Cuộc tranh luận này cũng chạm tới một vấn đề pháp lý tiên phong: quyền sở hữu bản quyền của mã do AI tạo ra. Theo các tiết lộ công khai trước đó của Gartner và Anthropic, khoảng 90% mã của Claude Code do AI tạo ra. Tòa án liên bang Hoa Kỳ vào tháng 3 năm 2025 đã phán quyết rằng tác phẩm do AI tạo ra không được hưởng bảo hộ bản quyền vì thiếu danh tính tác giả là con người; Tòa án Tối cao vào tháng 3 năm 2026 đã từ chối thụ lý kháng cáo. Nếu phần lớn mã của Claude Code thực sự do Claude tự viết, thì lập trường khẳng định bản quyền của Anthropic về mặt pháp lý sẽ có mức độ không chắc chắn đáng kể.

Hai lần rò rỉ trong một tuần, cảnh báo an toàn vận hành trước thềm IPO

Vụ rò rỉ mã nguồn lần này chỉ cách vụ rò rỉ trước đó của Anthropic năm ngày. Ngày 26 tháng 3, tạp chí Fortune đưa tin rằng Anthropic do cấu hình sai của hệ thống quản lý nội dung (CMS) đã làm lộ ra gần 3000 tài liệu nội bộ chưa phát hành trong bộ nhớ đệm dữ liệu công khai có thể truy xuất; trong đó có thông tin chi tiết về mô hình Claude Mythos sắp được phát hành. Cả hai sự cố đều được quy cho “lỗi của con người”.

Các mốc thời gian của những sự cố này rất nhạy cảm. Anthropic vào tháng 2 năm 2026 hoàn tất vòng G trị giá 30 tỷ USD, định giá 3800 tỷ USD, theo báo cáo đang chuẩn bị cho IPO sớm nhất vào tháng 10 năm 2026, dự kiến quy mô huy động có thể vượt 600 tỷ USD. Goldman Sachs, JPMorgan và Morgan Stanley đều đã có liên hệ ban đầu trong giai đoạn sớm. Doanh thu hằng năm của Claude Code đã vượt 2,5 tỷ USD—đây là động cơ tạo doanh thu quan trọng nhất của công ty. TechCrunch chỉ ra rằng đối với các công ty đang chuẩn bị lên sàn, việc rò rỉ mã nguồn đồng nghĩa với gần như chắc chắn phải đối mặt với các vụ kiện của cổ đông.

VentureBeat trong phân tích sự kiện đã đặt ra một câu hỏi sắc bén hơn: Anthropic trong tháng 3 đã có hơn mười vụ sự cố, nhưng chỉ công bố một báo cáo hậu sự duy nhất; hệ thống giám sát của bên thứ ba phát hiện lỗi sớm hơn trang trạng thái nội bộ của Anthropic 15 đến 30 phút. Một công ty đang lao về thị trường công khai với mức định giá 3800 tỷ USD—độ minh bạch trong vận hành và mức độ trưởng thành có tương xứng với định giá đó không, nhà đầu tư sẽ phải tự đánh giá.