#ClaudeCode500KCodeLeak

Hôm qua, thế giới AI đã âm thầm bùng nổ. Ai đó phát hiện ra rằng gói npm của Anthropic mang tên Claude Code đã được phát hành kèm theo một tệp .npmignore bị cấu hình sai, và bên trong gói đó có một bản đồ nguồn — một tệp .map — chứa khoảng 512.000 dòng mã nguồn TypeScript thô trải dài gần 1.900 tệp. Toàn bộ lớp điều phối của một trong những tác nhân lập trình AI tinh vi nhất trên thị trường, chỉ nằm đó, có thể tải xuống, được lập chỉ mục, công khai. Không phải trọng số mô hình. Không phải dữ liệu huấn luyện. Một thứ có thể còn thú vị hơn: toàn bộ khung, khung sườn, dây điện kết nối khiến Claude Code thực sự hoạt động đúng như cách nó thể hiện khi nằm trong terminal của bạn và viết mã của bạn.

Cộng đồng đã phản ứng nhanh chóng. Các bản sao đã xuất hiện trong vòng vài giờ. Các nhà nghiên cứu bắt đầu đưa mã trở lại vào Claude và yêu cầu nó giải thích những gì nó đang đọc. Các kết quả tự phân tích trả về, tùy theo góc nhìn của bạn, có thể vừa ấn tượng sâu sắc vừa đáng báo động — có lẽ cả hai.

Dưới đây là những gì mã bị rò rỉ thực sự tiết lộ, và tại sao điều đó lại quan trọng vượt xa chu kỳ meme.

Kiến trúc lời nhắc hệ thống không phải là một tài liệu nhất quán duy nhất. Nó là một mảnh ghép của hơn một trăm đoạn điều kiện, mỗi đoạn được chèn động dựa trên công cụ nào đang hoạt động, chế độ nào người dùng đang ở, bối cảnh nào đã được phát hiện. Thành phần giám sát an ninh riêng lẻ đã nặng hơn 5.600 token — khoảng 22.000 từ hướng dẫn điều kiện chỉ dành riêng để theo dõi các đầu vào phản diện. Đó không phải là một tính năng an toàn được gắn vào cuối cùng. Đó là một lớp nhận thức song song chạy song song với mọi thứ khác, luôn luôn, đọc các tệp và đoạn mã mà Claude đang đọc và tìm kiếm dấu hiệu của việc chèn prompt trước khi bất kỳ lệnh công cụ nào được phép tiếp tục.

Chế độ Plan, tính năng kích hoạt bằng Shift+Tab, không phải là một trạng thái tạm dừng đơn giản "nghĩ trước khi hành động". Nó sinh ra ba tác nhân song song. Một bản đồ hóa mã nguồn. Một tiến hành quá trình phỏng vấn như mã mô tả. Việc thực thi diễn ra trong một thư mục git làm việc cô lập, cách ly khỏi thư mục làm việc trực tiếp. Logic phối hợp giữa các tác nhân này rõ ràng, có cấu trúc, và đáng ngạc nhiên phức tạp đối với một công cụ dành cho nhà phát triển.

Bộ nhớ được xếp lớp theo cách mà hầu hết người dùng gần như chắc chắn không nhận ra. Có bộ nhớ cấp phiên làm việc, như mong đợi. Có bộ nhớ chia sẻ nhóm. Và rồi còn có thứ mà mã gọi là autoDream — một quá trình hợp nhất nền chạy bất đồng bộ, cắt bỏ các mục trùng lặp và hợp nhất các bộ nhớ liên quan. Tên gọi đủ gợi cảm để tạo ra phản ứng riêng khi mọi người phát hiện ra nó, nhưng cơ chế bản chất khá đơn giản: đó là một quá trình bảo trì nhằm giữ cho kho lưu trữ bộ nhớ hữu ích trong dài hạn thay vì để nó trở thành nhiễu.

Chứng nhận phản diện xứng đáng có một đoạn riêng. Sau khi mã được tạo ra, một tác nhân riêng biệt được kích hoạt với một nhiệm vụ: cố gắng phá vỡ nó. Tìm ra trường hợp biên. Phát hiện lỗi logic. Trả về kết quả PASS hoặc FAIL trước khi đầu ra được gửi đến người dùng. Đây không phải là kiểm tra lint hậu kiểm. Nó là một tác nhân phản diện phụ được nhúng trong quy trình phân phối. Mã cũng cho thấy rằng tác nhân này có thể cấu hình, điều này ngụ ý rằng Anthropic xem nó như một nút điều chỉnh hơn là một công tắc — bạn có thể điều chỉnh độ khó của nó trong việc cố gắng phá vỡ mọi thứ.

Các tính năng chưa phát hành trong mã nguồn là nơi mọi thứ thực sự mang tính suy đoán, vì không có trong số này được phát hành chính thức. BUDDY dường như là một người bạn AI liên tục với trạng thái theo dõi các chỉ số cảm xúc hoặc mức độ tương tác — so sánh với Tamagotchi đã lan truyền trên X là mang tính giảm nhẹ nhưng không hoàn toàn sai. KAIROS là một hệ thống thông báo chủ động, nghĩa là một tác nhân liên hệ với người dùng thay vì chờ đợi được kích hoạt. ULTRAPLAN hướng tới một chế độ lập kế hoạch dựa trên đám mây sử dụng các mô hình loại Opus, điều này có nghĩa là lớp lập kế hoạch mạnh nhất sẽ được offload thay vì chạy cục bộ. Liệu bất kỳ tính năng nào trong số này có được phát hành, khi nào, hoặc dưới dạng nào thì hoàn toàn chưa rõ, nhưng sự tồn tại của chúng trong mã nguồn ở mức độ phát triển này cho thấy một phần trong lộ trình sản phẩm.

Chống phân tán chống lại là thứ thú vị nhất về mặt triết lý trong vụ rò rỉ này. Mã chứa logic nhằm trình bày các đầu ra giả của công cụ cho bất kỳ ai cố gắng quét hoặc rút trích hành vi của mô hình thông qua các cuộc dò tìm tự động. Ý định là làm nhiễu tín hiệu huấn luyện của bất kỳ ai cố gắng sao chép hành vi của Claude bằng cách quan sát nó hoạt động. Trớ trêu thay, cơ chế phòng thủ này — gọi là Undercover Mode nội bộ — chính nó cũng bị rò rỉ trong cùng gói này, không ai bỏ lỡ. Đó là thứ cảm giác như bị sắp đặt nếu bạn đọc nó trong một tiểu thuyết.

Nhận xét về chất lượng mã cũng đáng được đề cập vì chúng kể một câu chuyện khác so với kiến trúc. Trong số các pipeline đa tác nhân được thiết kế tinh tế và các hệ thống bộ nhớ được cấu trúc cẩn thận, có những hàm vượt quá 3.000 dòng mã. Có những phần mà bất kỳ kỹ sư có kinh nghiệm nào cũng gọi là spaghetti ở một số chỗ. Đây không phải là lời chê — đó là lời nhắc nhở rằng ngay cả hạ tầng AI tinh vi nhất cũng do con người xây dựng dưới áp lực ra sản phẩm, và khoảng cách giữa hành vi bên ngoài tinh tế và thực thi nội bộ lộn xộn là một hằng số phổ quát trong phần mềm. Nó cũng có nghĩa rằng mã bị rò rỉ không phải là một bản tham khảo hoàn hảo. Đó là một mã nguồn hoạt động, mang theo tất cả các vết sẹo mà điều đó mang lại.

Điều này có ý nghĩa gì đối với bức tranh rộng lớn hơn về AI thì đáng để suy ngẫm. Lớp điều phối — khung sườn, khung sườn, logic phối hợp tác nhân — từ lâu đã được xem như bí mật sở hữu riêng biệt giúp phân biệt các công cụ này. Trọng số mô hình phần lớn không thể truy cập. Dữ liệu huấn luyện được bảo vệ. Nhưng lớp hành vi, phần quyết định cách mô hình thực sự hành xử khi tích hợp trong một sản phẩm, giờ đã được phơi bày đầy đủ cho một trong những tác nhân lập trình hàng đầu. Các nhóm khác sẽ đọc. Các nhà nghiên cứu học thuật sẽ đọc. Các đối thủ cạnh tranh sẽ đọc. Các kỹ thuật tạo tác nhân song song, xác minh phản diện, hợp nhất bộ nhớ theo lớp, và phát hiện chèn prompt mà Anthropic đã dành nhiều thời gian kỹ thuật để phát triển giờ đã trở thành kiến thức công cộng.

Anthropic chưa đưa ra tuyên bố chính thức nào khi bài viết này được viết. Gói npm có lẽ đã được sửa. Các bản sao đã quá phổ biến để có thể kiểm soát một cách có ý nghĩa. Cuộc tranh luận sẽ chuyển sang chủ đề khác trong vài ngày tới, như mọi khi. Nhưng hiện vật này — 512.000 dòng mô tả cách một tác nhân AI tiên phong thực sự suy nghĩ và phối hợp — sẽ được các người xây dựng hệ thống này nghiên cứu kỹ lưỡng trong thời gian dài.

Điều thực sự rút ra được không phải là Anthropic mắc sai lầm. Mà là khoảng cách giữa "AI hộp đen" và "hệ thống AI hoàn toàn có thể đọc hiểu" nhỏ hơn nhiều so với câu chuyện thường thấy về các sản phẩm này. Phép thuật là có thật, nhưng nó cũng là TypeScript.