Anthropic đã công khai toàn bộ mã nguồn của Claude Code sau khi một tệp bản đồ nguồn bị cấu hình sai được đăng tải lên npm, mang đến cái nhìn hiếm hoi về một trong những sản phẩm thương mại quan trọng nhất của công ty.
Tệp tin này, được đóng gói cùng với phiên bản 2.1.88, chứa gần 60 megabyte dữ liệu nội bộ, bao gồm khoảng 512.000 dòng mã TypeScript trải rộng trên 1.906 tệp. Chaofan Shou, một kỹ sư phần mềm thực tập tại Solayer Labs, là người đầu tiên phát hiện ra vụ rò rỉ này, và nó nhanh chóng lan rộng trên X và GitHub khi các nhà phát triển bắt đầu kiểm tra mã nguồn.
Thông tin được tiết lộ cho thấy cách Anthropic xây dựng Claude Code để duy trì sự tập trung trong các phiên lập trình dài. Một trong những phát hiện rõ ràng nhất là hệ thống bộ nhớ ba lớp xoay quanh một tệp tin nhẹ có tên MEMORY.md, lưu trữ các tham chiếu Short thay vì toàn bộ thông tin. Các ghi chú dự án chi tiết hơn được lưu riêng và chỉ được lấy ra khi cần thiết, trong khi lịch sử phiên làm việc trước đó được tìm kiếm có chọn lọc thay vì tải tất cả cùng một lúc. Mã nguồn cũng hướng dẫn hệ thống kiểm tra bộ nhớ của nó so với mã thực tế trước khi thực hiện hành động, một thiết kế nhằm giảm thiểu lỗi và giả định sai.
Nguồn tin cũng cho rằng Anthropic đã và đang phát triển một phiên bản Claude Code tự động hơn so với những gì người dùng hiện đang thấy. Một tính năng được nhắc đi nhắc lại dưới tên KAIROS dường như mô tả chế độ nền (daemon mode) trong đó tác nhân có thể tiếp tục hoạt động trong nền thay vì chờ đợi các lệnh trực tiếp.
Một quy trình khác, được gọi là autoDream, dường như xử lý việc hợp nhất bộ nhớ trong thời gian nhàn rỗi bằng cách dung hòa các mâu thuẫn và chuyển đổi các quan sát tạm thời thành các sự kiện đã được xác minh. Các nhà phát triển xem xét mã cũng tìm thấy hàng tá cờ tính năng ẩn, bao gồm cả các tham chiếu đến tự động hóa trình duyệt thông qua Playwright.
Thông tin rò rỉ cũng tiết lộ tên gọi nội bộ của các mẫu sản phẩm và dữ liệu hiệu năng. Theo nguồn tin, Capybara là một biến thể của Claude 4.6, Fennec tương ứng với bản phát hành Opus 4.6, và Numbat vẫn đang trong giai đoạn thử nghiệm trước khi ra mắt.
Các kết quả kiểm tra nội bộ được trích dẫn trong mã nguồn cho thấy phiên bản Capybara mới nhất có tỷ lệ báo cáo sai từ 29% đến 30%, tăng từ 16,7% trong phiên bản trước đó. Nguồn này cũng đề cập đến một cơ chế đối trọng về tính quyết đoán được thiết kế để ngăn mô hình trở nên quá hung hăng khi chỉnh sửa lại mã người dùng.
Một trong những tiết lộ nhạy cảm nhất liên quan đến một tính năng được mô tả là Chế độ Bí mật. Lời nhắc hệ thống được phục hồi cho thấy Claude Code có thể được sử dụng để đóng góp vào các kho lưu trữ mã nguồn mở công khai mà không tiết lộ rằng AI có liên quan. Các hướng dẫn cụ thể yêu cầu mô hình tránh để lộ các định danh nội bộ, bao gồm cả tên mã Anthropic, trong các thông báo cam kết hoặc nhật ký git công khai.
Các tài liệu bị rò rỉ cũng đã phơi bày công cụ phân quyền của Anthropic, logic điều phối cho quy trình làm việc đa tác nhân, hệ thống xác thực bash và kiến trúc máy chủ MCP, cung cấp cho các đối thủ cạnh tranh cái nhìn chi tiết về cách thức hoạt động của Claude Code. Việc tiết lộ này cũng có thể cung cấp cho kẻ tấn công một lộ trình rõ ràng hơn để tạo ra các kho lưu trữ được thiết kế để khai thác mô hình tin cậy của tác nhân. Đoạn văn bản được dán cho biết một nhà phát triển đã bắt đầu viết lại một số phần của hệ thống bằng Python và Rust dưới tên Claw Code chỉ vài giờ sau khi thông tin bị rò rỉ.
Việc lộ mã nguồn trùng hợp với một cuộc tấn công chuỗi cung ứng riêng biệt liên quan đến các phiên bản độc hại của gói npm axios được phân phối vào ngày 31 tháng 3. Các nhà phát triển đã cài đặt hoặc cập nhật Claude Code thông qua npm trong khoảng thời gian đó cũng có thể đã tải xuống gói phụ thuộc bị xâm phạm, được cho là chứa một phần mềm độc hại truy cập từ xa. Các nhà nghiên cứu bảo mật khuyến cáo người dùng kiểm tra các tệp khóa của họ, thay đổi thông tin đăng nhập và trong một số trường hợp, xem xét cài đặt lại toàn bộ hệ điều hành trên các máy bị ảnh hưởng.
Sự cố này đánh dấu trường hợp thứ hai được biết đến trong khoảng mười ba tháng qua mà Anthropic để lộ các chi tiết kỹ thuật nội bộ nhạy cảm, sau một vụ việc trước đó vào tháng 2 năm 2025 liên quan đến thông tin mô hình chưa được công bố.
Sau vụ xâm phạm mới nhất, Anthropic đã chỉ định trình cài đặt nhị phân độc lập của mình là phương pháp ưu tiên để cài đặt Claude Code vì nó bỏ qua chuỗi phụ thuộc npm. Người dùng vẫn sử dụng npm được khuyên nên sử dụng các phiên bản an toàn đã được xác minh được phát hành trước khi gói bị xâm phạm.
