Khoảnh khắc ba lần của Anthropic: Rò rỉ mật mã, bế tắc chính phủ và vũ khí hóa

Tên bài viết gốc: Nhân sinh: Vụ rò rỉ thông tin, cuộc chiến, vũ khí.
Tác giả bài viết gốc: BuBBliK
Bản dịch: Peggy, BlockBeats

Ghi chú của biên tập viên: Trong sáu tháng qua, Anthropic đã liên tục vướng vào một loạt các sự kiện tưởng chừng như độc lập nhưng thực chất lại có mối liên hệ với nhau: một bước tiến vượt bậc về khả năng mô hình, các cuộc tấn công tự động trong thế giới thực, những phản ứng mạnh mẽ từ thị trường vốn, các cuộc xung đột công khai với chính phủ và nhiều vụ rò rỉ thông tin do lỗi cấu hình cơ bản. Tổng hợp các manh mối này lại, chúng ta có thể thấy rõ hơn hướng đi của sự thay đổi.

Bài viết này lấy những sự kiện trên làm điểm khởi đầu để xem xét quá trình phát triển liên tục của một công ty AI về các đột phá công nghệ, rủi ro và quản trị, nhằm cố gắng trả lời một câu hỏi sâu sắc hơn: khi khả năng "phát hiện lỗ hổng" được khuếch đại mạnh mẽ và dần lan rộng, liệu hệ thống an ninh mạng có còn duy trì được logic hoạt động ban đầu của nó hay không?

Trước đây, an ninh được xây dựng dựa trên sự khan hiếm năng lực và những hạn chế của con người; tuy nhiên, trong điều kiện mới, tấn công và phòng thủ đang diễn ra xung quanh cùng một tập hợp các năng lực mẫu, khiến ranh giới giữa chúng ngày càng trở nên mờ nhạt. Đồng thời, phản ứng của các thể chế, thị trường và tổ chức vẫn nằm trong khuôn khổ cũ, chật vật để thích ứng kịp thời với sự thay đổi này.

Bài viết này không chỉ tập trung vào Anthropic mà còn vào một thực tế rộng lớn hơn mà nó phản ánh: Trí tuệ nhân tạo không chỉ thay đổi các công cụ mà còn cả tiền đề về "cách thức thiết lập an ninh".

Dưới đây là văn bản gốc:

Sẽ ra sao khi một công ty trị giá 380 tỷ đô la tham gia vào một cuộc tranh giành quyền lực với Lầu Năm Góc, sống sót sau cuộc tấn công mạng đầu tiên do trí tuệ nhân tạo tự động thực hiện, làm rò rỉ một mô hình nội bộ mà ngay cả các nhà phát triển của chính họ cũng lo sợ, và thậm chí "vô tình" để lộ toàn bộ mã nguồn? Xếp chồng tất cả lên nhau, trông nó như thế nào?

Câu trả lời chính là diện mạo hiện tại của nó. Và điều đáng lo ngại hơn nữa là phần nguy hiểm nhất có thể vẫn chưa xảy ra.

Đánh giá sự kiện

Anthropic lại để lộ mã nguồn.

Vào ngày 31 tháng 3 năm 2026, nhà nghiên cứu bảo mật Shou Chaofan từ công ty blockchain Fuzzland đã phát hiện một tệp có tên cli.js.map trong gói npm chính thức của Claude Code khi đang kiểm tra nó.

Tệp tin 60MB này chứa nội dung đáng kinh ngạc. Nó gần như bao gồm toàn bộ mã nguồn TypeScript hoàn chỉnh của sản phẩm. Chỉ với tập tin này, bất kỳ ai cũng có thể tái tạo tới 1906 tập tin mã nguồn nội bộ: bao gồm thiết kế API nội bộ, hệ thống đo từ xa, công cụ mã hóa, logic bảo mật, hệ thống plugin — hầu như tất cả các thành phần cốt lõi đều được phơi bày. Quan trọng hơn, nội dung này thậm chí có thể được tải xuống trực tiếp dưới dạng tệp zip từ kho lưu trữ R2 của Anthropic.

Phát hiện này nhanh chóng lan truyền trên mạng xã hội: chỉ trong vài giờ, các bài đăng liên quan đã nhận được 754.000 lượt xem và gần 1000 lượt chia sẻ lại; đồng thời, nhiều kho lưu trữ GitHub chứa mã nguồn bị rò rỉ đã được tạo ra và công khai.

Cái gọi là bản đồ nguồn, về cơ bản chỉ là một tệp phụ trợ để gỡ lỗi JavaScript, được thiết kế để khôi phục mã đã nén và biên dịch trở lại mã nguồn gốc, giúp các nhà phát triển dễ dàng khắc phục sự cố.

Tuy nhiên, có một nguyên tắc cơ bản: nó không bao giờ được đưa vào gói phát hành của môi trường sản xuất.

Đây không phải là một kỹ thuật hack cao cấp, mà chỉ là một vấn đề cơ bản về thực tiễn kỹ thuật tốt nhất, một phần của "Cấu hình bản dựng cơ bản", điều mà các nhà phát triển học được ngay cả trong tuần đầu tiên. Nếu vô tình được đóng gói vào môi trường sản xuất, bản đồ nguồn thường đồng nghĩa với việc "tặng" mã nguồn cho tất cả mọi người.

Bạn cũng có thể xem trực tiếp mã nguồn liên quan tại đây: https://github.com/instructkr/claude-code

Nhưng điều thực sự khiến tình huống này trở nên nực cười là: điều này đã từng xảy ra một lần trước đây rồi.

Vào tháng 2 năm 2025, chỉ cách đây đúng một năm, một vụ rò rỉ gần như y hệt đã xảy ra: cùng một tập tin, cùng một loại lỗi. Sau đó, Anthropic đã gỡ bỏ phiên bản cũ khỏi npm, loại bỏ source map và phát hành lại phiên bản mới, và vấn đề đã được giải quyết.

Tuy nhiên, trong phiên bản 2.1.88, tệp này lại được đóng gói và phát hành.

Một công ty có giá trị thị trường 380 tỷ đô la, hiện đang xây dựng hệ thống phát hiện lỗ hổng bảo mật tiên tiến nhất thế giới, đã mắc cùng một sai lầm cơ bản đến hai lần trong vòng một năm. Không có cuộc tấn công của tin tặc, không có các đường dẫn khai thác phức tạp, chỉ là một quy trình xây dựng cơ bản đáng lẽ phải hoạt động như mong đợi nhưng lại gặp trục trặc.

Sự trớ trêu này, theo một cách nào đó, mang tính chất thơ mộng.

Trí tuệ nhân tạo (AI) có thể phát hiện 500 lỗ hổng bảo mật zero-day chỉ trong một lần chạy; mô hình được sử dụng để khởi động các cuộc tấn công tự động chống lại 30 tổ chức toàn cầu — trong khi đó, Anthropic vô tình "tặng" mã nguồn của chính mình cho bất kỳ ai sẵn lòng xem qua một gói npm.

Hai vụ rò rỉ thông tin, chỉ cách nhau bảy ngày.

Tuy nhiên, nguyên nhân lại giống nhau đến kỳ lạ: một lỗi cấu hình cơ bản nhất. Không cần kiến ​​thức kỹ thuật phức tạp, không có quy trình khai thác rắc rối. Chỉ cần biết chỗ nào để tìm, bất cứ ai cũng có thể dễ dàng lấy được.

Một tuần trước: Mô hình rủi ro nội bộ vô tình bị lộ.

Vào ngày 26 tháng 3 năm 2026, nhà nghiên cứu bảo mật Roy Paz của LayerX Security và Alexandre Pauwels của Đại học Cambridge đã phát hiện ra một lỗi cấu hình trong hệ thống quản lý nội dung (CMS) của trang web Anthropic, dẫn đến việc khoảng 3000 tập tin nội bộ bị lộ.

Các tập tin này bao gồm bản nháp bài đăng trên blog, file PDF, tài liệu nội bộ, tài liệu thuyết trình—tất cả đều được lưu trữ trong một kho dữ liệu không được bảo vệ và có thể tìm kiếm được. Không cần thủ thuật, không cần kiến ​​thức kỹ thuật phức tạp.

Trong số các tập tin này có hai bản nháp blog gần như giống hệt nhau, chỉ khác nhau ở tên mô hình: một bản có nhãn 'Mythos', bản còn lại có nhãn 'Capybara'.

Điều này cho thấy Anthropic khi đó đang cân nhắc giữa hai cái tên cho cùng một dự án bí mật. Sau đó, công ty xác nhận: quá trình huấn luyện mô hình đã hoàn tất và việc thử nghiệm đã bắt đầu với một số khách hàng đầu tiên.

Đây không phải là bản nâng cấp định kỳ cho Opus mà là một mẫu 'Tier Four' hoàn toàn mới, một cấp bậc thậm chí còn cao hơn cả Opus.

Trong bản thảo của chính Anthropic, nó được mô tả là "lớn hơn, thông minh hơn mẫu Opus của chúng tôi - Opus là mẫu mạnh nhất của chúng tôi cho đến nay." Nó đã chứng kiến ​​một bước tiến vượt bậc về kỹ năng lập trình, tư duy học thuật và an ninh mạng. Người phát ngôn gọi đây là "một bước tiến vượt bậc về chất lượng" và cũng là "mô hình mạnh mẽ nhất mà chúng tôi từng xây dựng".

Nhưng điều thực sự thu hút sự chú ý không phải là những mô tả về màn trình diễn này.

Trong bản dự thảo bị rò rỉ, Anthropic đánh giá mô hình này rằng nó "gây ra những rủi ro an ninh mạng chưa từng có", "vượt xa bất kỳ mô hình AI nào khác về khả năng mạng" và "báo hiệu một làn sóng mô hình sắp tới - một làn sóng khai thác các lỗ hổng với tốc độ vượt xa khả năng phản ứng của các nhà phòng thủ".

Nói cách khác, trong một bản nháp bài đăng trên blog chính thức chưa được công bố, Anthropic đã bày tỏ một quan điểm hiếm hoi: họ cảm thấy không thoải mái về sản phẩm mà họ đang xây dựng.

Phản ứng của thị trường gần như tức thì. Giá cổ phiếu của CrowdStrike giảm 7%, Palo Alto Networks giảm 6%, Zscaler giảm 4,5%; cả Okta và SentinelOne đều giảm hơn 7%, trong khi Tenable lao dốc 9%. Quỹ ETF iShares Cybersecurity đã giảm 4,5% trong một ngày. Chỉ riêng CrowdStrike đã chứng kiến ​​giá trị vốn hóa thị trường của mình giảm mạnh khoảng 15 tỷ đô la chỉ trong ngày hôm đó. Trong khi đó, Bitcoin giảm xuống còn 66.000 đô la.

Rõ ràng thị trường đã hiểu sự kiện này như một "phán xét" đối với toàn bộ ngành công nghiệp an ninh mạng.

Ý nghĩa chính của hình ảnh: Dưới ảnh hưởng của các tin tức liên quan, toàn bộ lĩnh vực an ninh mạng đã trải qua sự suy giảm, với một số công ty hàng đầu (như CrowdStrike, Palo Alto Networks, Zscaler, v.v.) ghi nhận mức giảm đáng kể, phản ánh mối lo ngại của thị trường về tác động của AI đối với ngành an ninh mạng. Tuy nhiên, phản ứng này không phải là chưa từng xảy ra. Trước đây, khi Anthropic phát hành công cụ quét mã, cổ phiếu các công ty liên quan cũng giảm, cho thấy thị trường đã bắt đầu xem AI như một mối đe dọa mang tính cấu trúc đối với các nhà cung cấp bảo mật truyền thống, và toàn bộ ngành công nghiệp phần mềm đang phải đối mặt với những áp lực tương tự.

Nhận xét của nhà phân tích Adam Borg thuộc Stifel khá thẳng thắn: Mô hình này "có tiềm năng trở thành công cụ tấn công mạng tối thượng, thậm chí có khả năng biến một hacker thông thường thành một đối thủ có khả năng tấn công cấp độ quốc gia."

Vậy tại sao nó vẫn chưa được công bố rộng rãi? Anthropic giải thích rằng chi phí vận hành của Mythos "rất cao" và chưa đáp ứng các điều kiện để phát hành rộng rãi. Kế hoạch hiện tại là trước tiên sẽ cấp quyền truy cập sớm cho một số ít đối tác an ninh mạng để tăng cường hệ thống phòng thủ của họ; sau đó sẽ dần dần mở rộng quyền truy cập mở vào API. Trong khi đó, công ty tiếp tục tối ưu hóa hiệu quả hoạt động.

Tuy nhiên, điểm mấu chốt là mô hình này đã tồn tại, đang được thử nghiệm và chỉ do "vô tình bị phát hiện" mà đã tác động đến toàn bộ thị trường vốn.

Anthropic đã xây dựng cái mà chính họ gọi là "mô hình trí tuệ nhân tạo có rủi ro an ninh mạng cao nhất trong lịch sử". Tuy nhiên, việc rò rỉ thông tin lại bắt nguồn chính từ một trong những lỗi cấu hình cơ bản nhất của cơ sở hạ tầng — chính xác là loại lỗi mà các mô hình này ban đầu được thiết kế để phát hiện.

Tháng 3 năm 2026: Cuộc đối đầu giữa Anthropic và Lầu Năm Góc và Chiến thắng

Vào tháng 7 năm 2025, Anthropic đã ký một hợp đồng trị giá 200 triệu đô la với Hoa Kỳ. Ban đầu, sự hợp tác này có vẻ như là một hoạt động thường lệ giữa Bộ Quốc phòng. Tuy nhiên, trong các cuộc đàm phán triển khai sau đó, xung đột đã leo thang nhanh chóng.

Lầu Năm Góc đã tìm cách "truy cập đầy đủ" vào Claude trên nền tảng GenAI.mil của họ cho tất cả "mục đích hợp pháp" - bao gồm cả các hệ thống vũ khí tự động hoàn toàn và hoạt động giám sát nội địa rộng rãi đối với công dân Mỹ.

Anthropic đã đưa ra những giới hạn đỏ về hai vấn đề quan trọng và kiên quyết từ chối, dẫn đến việc đàm phán đổ vỡ vào tháng 9 năm 2025.

Sau đó, tình hình bắt đầu leo ​​thang nhanh chóng. Vào ngày 27 tháng 2 năm 2026, Donald Trump đã đăng bài trên Truth Social, yêu cầu tất cả các cơ quan liên bang "ngừng ngay lập tức" việc sử dụng công nghệ của Anthropic và gắn mác công ty này là "cực tả".

Vào ngày 5 tháng 3 năm 2026, Hoa Kỳ Bộ Quốc phòng đã chính thức xếp Anthropic vào danh sách "rủi ro chuỗi cung ứng".

Nhãn hiệu này trước đây hầu như chỉ được sử dụng cho các đối thủ nước ngoài — chẳng hạn như các công ty Trung Quốc hoặc các thực thể Nga — và hiện đang được áp dụng lần đầu tiên cho một công ty của Mỹ có trụ sở tại San Francisco. Trong khi đó, các công ty như Amazon, Microsoft và Palantir Technologies cũng được yêu cầu chứng minh rằng Claude không được sử dụng trong bất kỳ hoạt động quân sự nào của họ.

Giám đốc công nghệ của Lầu Năm Góc, Emile Michael, giải thích quyết định này là vì Claude có thể "làm ô nhiễm" chuỗi cung ứng do mô hình này tích hợp các "ưu tiên chính sách" khác nhau. Nói cách khác, trong bối cảnh chính thức, một trí tuệ nhân tạo có những hạn chế về việc sử dụng, không hỗ trợ vô điều kiện cho các hành động gây chết người, lại được xem là một mối đe dọa đối với an ninh quốc gia.

Vào ngày 26 tháng 3 năm 2026, Thẩm phán liên bang Rita Lin đã ban hành phán quyết dài 43 trang, chặn đứng toàn diện các biện pháp liên quan của Lầu Năm Góc.

Trong phán quyết của mình, bà viết: "Không có cơ sở pháp lý nào trong luật hiện hành để ủng hộ lối tư duy 'kiểu Orwell' này — rằng chỉ vì một công ty của Mỹ không đồng ý với lập trường của chính phủ mà nó có thể bị coi là đối thủ tiềm năng." Việc trừng phạt Anthropic vì đã đưa lập trường của chính phủ ra trước công chúng về cơ bản là hành động trả đũa vi phạm Tu chính án thứ nhất điển hình và bất hợp pháp." Một ý kiến ​​của bên thứ ba tham gia vụ kiện thậm chí còn mô tả hành động của Lầu Năm Góc là "một âm mưu nhằm giết chết một tập đoàn".

Kết quả là, nỗ lực đàn áp Anthropic của chính phủ lại vô tình thu hút thêm nhiều sự chú ý đến nó. Ứng dụng Claude đã vượt qua ChatGPT lần đầu tiên trên cửa hàng ứng dụng, với số lượng đăng ký đạt đỉnh điểm hơn 1 triệu lượt mỗi ngày.

Một công ty trí tuệ nhân tạo đã từ chối lời đề nghị của tổ chức quân sự hùng mạnh nhất thế giới. Và tòa án đã đứng về phía họ.

Tháng 11 năm 2025: Cuộc tấn công mạng do trí tuệ nhân tạo dẫn đầu đầu tiên trong lịch sử

Vào ngày 14 tháng 11 năm 2025, Anthropic đã công bố một báo cáo gây chấn động toàn thế giới.

Báo cáo tiết lộ rằng một nhóm tin tặc do nhà nước Trung Quốc tài trợ đã sử dụng Claude Code để thực hiện các cuộc tấn công tự động nhằm vào 30 tổ chức toàn cầu, bao gồm các tập đoàn công nghệ, ngân hàng và nhiều cơ quan chính phủ.

Đây là thời điểm bước ngoặt: Trí tuệ nhân tạo không còn chỉ là một công cụ hỗ trợ mà còn được sử dụng để tự động thực hiện các cuộc tấn công mạng.

Điểm mấu chốt là sự thay đổi trong "phân công lao động": con người chỉ chịu trách nhiệm lựa chọn mục tiêu và phê duyệt các quyết định quan trọng. Trong suốt toàn bộ chiến dịch, họ chỉ can thiệp khoảng 4 đến 6 lần. Mọi thứ khác đều do AI xử lý: thu thập thông tin tình báo, xác định lỗ hổng, viết mã khai thác, đánh cắp dữ liệu, cài đặt cửa hậu... chiếm 80%–90% toàn bộ quy trình tấn công và hoạt động với tốc độ hàng nghìn yêu cầu mỗi giây—một quy mô và hiệu quả mà không một đội ngũ con người nào có thể sánh kịp.

Vậy họ đã vượt qua các biện pháp an ninh của Claude bằng cách nào? Câu trả lời: họ không "đột phá" mà là "lừa" để vượt qua.

Cuộc tấn công được chia nhỏ thành các nhiệm vụ phụ tưởng chừng vô hại và được đóng gói như một "bài kiểm tra thâm nhập được ủy quyền" bởi một "công ty bảo mật hợp pháp". Về bản chất, đó là một hình thức tấn công kỹ thuật xã hội, chỉ khác là lần này, mục tiêu bị đánh lừa chính là trí tuệ nhân tạo (AI).

Một số phần của cuộc tấn công đã đạt được thành công lớn. Claude có khả năng tự động lập bản đồ toàn bộ cấu trúc mạng, định vị cơ sở dữ liệu và thực hiện trích xuất dữ liệu mà không cần hướng dẫn từng bước từ con người.

Yếu tố duy nhất làm chậm tốc độ tấn công là những "ảo giác" thỉnh thoảng xuất hiện trong mô hình — chẳng hạn như thông tin xác thực giả mạo hoặc tuyên bố có được các tài liệu thực chất đã được công khai. Ít nhất là hiện tại, đây vẫn là một trong số ít những "rào cản tự nhiên" ngăn cản các cuộc tấn công mạng hoàn toàn tự động.

Tại Hội nghị RSA 2026, cựu giám đốc an ninh mạng của NSA, Rob Joyce, đã ví sự kiện này như một "bài kiểm tra Rorschach": một số người chọn cách phớt lờ, trong khi những người khác lại vô cùng bàng hoàng. Và rõ ràng, ông ấy thuộc nhóm thứ hai — "Thật đáng sợ."

Tháng 9 năm 2025: Đây không phải là lời dự đoán; đây là một thực tế đã xảy ra.

Tháng 2 năm 2026: Một lần chạy đã phát hiện ra 500 lỗ hổng bảo mật zero-day.

Vào ngày 5 tháng 2 năm 2026, Anthropic đã phát hành Claude Opus 4.6, kèm theo một bài nghiên cứu gần như làm chấn động toàn bộ ngành công nghiệp an ninh mạng.

Thiết lập thí nghiệm vô cùng đơn giản: Claude được đặt trong một môi trường máy ảo biệt lập được trang bị các công cụ tiêu chuẩn—Python, trình gỡ lỗi và trình kiểm thử mờ. Không có hướng dẫn bổ sung, không có lời nhắc phức tạp, chỉ có một câu duy nhất: “Đi tìm côn trùng đi.”

Kết quả: mô hình đã phát hiện hơn 500 lỗ hổng bảo mật zero-day có rủi ro cao chưa từng được biết đến trước đây. Một số lỗ hổng bảo mật này vẫn chưa được phát hiện ngay cả sau hàng thập kỷ xem xét của các chuyên gia và hàng triệu giờ kiểm thử tự động.

Tiếp đó, tại Hội nghị RSA 2026, nhà nghiên cứu Nicholas Carlini đã lên sân khấu trình bày. Ông ta nhắm mục tiêu vào Claude trong Ghost, một hệ thống CMS trên GitHub với 50.000 lượt đánh dấu sao và chưa từng có lịch sử về các lỗ hổng bảo mật nghiêm trọng.

Sau 90 phút, kết quả đã có: một lỗ hổng tấn công SQL injection ẩn đã được phát hiện, cho phép người dùng không được xác thực giành quyền quản trị hoàn toàn.

Tiếp theo, anh ấy đã sử dụng Claude để phân tích nhân Linux. Kết quả thu được tương tự.

15 ngày sau, Anthropic giới thiệu Claude Code Security, một sản phẩm bảo mật không còn dựa vào việc so khớp mẫu mà dựa trên "khả năng suy luận" để hiểu mã.

Tuy nhiên, một phát ngôn viên của Anthropic cũng đã nêu ra một sự thật quan trọng nhưng thường bị bỏ qua: “Khả năng suy luận giúp Claude phát hiện và khắc phục các lỗ hổng cũng có thể được kẻ tấn công sử dụng để khai thác những lỗ hổng này.”

Đó vẫn là cùng một khả năng, cùng một mô hình, chỉ khác người sử dụng mà thôi.

Tất cả những điều này kết hợp lại, có nghĩa là gì?

Nếu xét riêng từng trường hợp, mỗi trường hợp đều đủ sức trở thành tin tức nổi bật của tháng. Tuy nhiên, tất cả những sự việc đó đều xảy ra chỉ trong vòng sáu tháng, và đều tại cùng một công ty.

Anthropic đã xây dựng một mô hình có thể phát hiện lỗ hổng nhanh hơn bất kỳ con người nào; tin tặc Trung Quốc đã biến thế hệ trước thành một vũ khí mạng tự động; công ty đang phát triển một mô hình thế hệ tiếp theo mạnh mẽ hơn, thậm chí thừa nhận trong các tài liệu nội bộ - họ cảm thấy không thoải mái về điều đó.

Chính phủ Mỹ đã cố gắng ngăn chặn nó, không phải vì bản thân công nghệ đó nguy hiểm, mà vì Anthropic từ chối chuyển giao khả năng này một cách vô điều kiện.

Và giữa tất cả những điều này, công ty này đã để lộ mã nguồn của mình hai lần do cùng một tệp tin trong cùng một gói npm. Một công ty trị giá 380 tỷ đô la; một công ty đặt mục tiêu IPO 600 tỷ đô la vào tháng 10 năm 2026; một công ty công khai tuyên bố đang xây dựng "một trong những công nghệ mang tính đột phá và tiềm tàng nguy hiểm nhất trong lịch sử loài người" - vậy mà họ vẫn chọn tiếp tục tiến về phía trước.

Bởi vì họ tin rằng: Tự mình làm thì tốt hơn là để người khác làm hộ.

Còn về bản đồ nguồn trong gói npm đó - nó có thể là chi tiết đáng lo ngại nhất trong câu chuyện đáng lo ngại nhất của thời đại này, phi lý nhất, nhưng cũng chân thực nhất.

Và Mythos thậm chí còn chưa được phát hành chính thức.

[ Liên kết bài viết gốc ]