Tiêu đề gốc: Anthropic: The Leak, The War, The Weapon
Tác giả gốc: BuBBliK
Biên tập: Peggy，BlockBeats

Lời ban biên tập: Trong nửa năm qua, Anthropic liên tục vướng vào một loạt sự kiện tưởng như độc lập với nhau nhưng thực chất lại cùng chỉ về nhau: bước nhảy trong năng lực của mô hình, các cuộc tấn công tự động ngoài thế giới thực, phản ứng kịch liệt của thị trường vốn, xung đột công khai với chính phủ, và nhiều lần rò rỉ thông tin do lỗi cấu hình cốt lõi. Khi đặt những manh mối này cạnh nhau, chúng cùng phác họa một hướng thay đổi rõ ràng hơn.

Bài viết lấy các sự kiện này làm mối cắt, nhìn lại hành trình liên tục của một công ty AI trong bối cảnh đột phá kỹ thuật, phơi bày rủi ro và cuộc giằng co về quản trị, đồng thời cố gắng trả lời một câu hỏi sâu hơn: khi năng lực “phát hiện lỗ hổng” được khuếch đại cực mạnh và dần lan rộng, thì bản thân hệ thống an ninh mạng còn có thể duy trì logic vận hành ban đầu hay không.

Trước đây, an ninh được xây trên nền tảng năng lực khan hiếm và sự ràng buộc của nhân lực; còn trong điều kiện mới, công phòng đang xoay quanh cùng một bộ năng lực mô hình, khiến ranh giới ngày càng mờ nhạt. Trong khi đó, phản ứng của thể chế, thị trường và tổ chức vẫn nằm trong các khung cũ, khó có thể tiếp nhận kịp thời sự thay đổi này.

Thứ bài viết này quan tâm không chỉ là bản thân Anthropic, mà là một thực tế lớn hơn mà nó phản chiếu: AI không chỉ thay đổi công cụ, mà còn thay đổi tiền đề để “an ninh được hình thành” như thế nào.

Dưới đây là phần nguyên văn:

Khi một công ty có giá trị vốn hóa 380 tỷ USD đối đầu trong thế giằng co với Lầu Năm Góc và giành được lợi thế, sống sót qua cuộc tấn công mạng do AI tự chủ khởi xướng lần đầu tiên trong lịch sử, rồi trong nội bộ lại rò rỉ một mô hình đến mức chính cả các nhà phát triển cũng cảm thấy sợ hãi, thậm chí còn “vô tình” công khai toàn bộ mã nguồn—tất cả chồng chất lại với nhau sẽ trông như thế nào?

Câu trả lời là như hiện nay. Và điều đáng lo hơn nữa có lẽ là phần nguy hiểm thực sự vẫn chưa xảy ra.

Tóm tắt sự kiện

Anthropic lại rò rỉ mã của chính mình

Ngày 31 tháng 3 năm 2026, nhà nghiên cứu bảo mật Shou Chaofan của công ty blockchain Fuzzland khi kiểm tra gói npm Claude Code do chính thức phát hành đã phát hiện rằng bên trong lại có chứa một tệp có tên cli.js.map—ở dạng văn bản rõ ràng.

Tệp này có dung lượng lên tới 60MB, và nội dung còn đáng kinh ngạc hơn. Nó gần như chứa toàn bộ mã nguồn TypeScript hoàn chỉnh của sản phẩm. Chỉ dựa vào một tệp như vậy, bất kỳ ai cũng có thể khôi phục được tới 1906 tệp mã nguồn nội bộ: bao gồm thiết kế API nội bộ, hệ thống giám sát từ xa (telemetry), công cụ mã hóa, logic an toàn, hệ thống plugin—gần như tất cả các thành phần cốt lõi đều lộ hết. Quan trọng hơn, những nội dung này còn có thể trực tiếp được tải về dưới dạng tệp zip từ kho lưu trữ R2 của chính Anthropic.

Phát hiện này nhanh chóng lan truyền trên mạng xã hội: trong vòng vài giờ, các bài đăng liên quan đạt 754.000 lượt xem và gần 1000 lượt chia sẻ chuyển tiếp; đồng thời, nhiều kho GitHub khôi phục mã nguồn cũng được tạo và công khai ngay lập tức.

Được gọi là source map (tệp ánh xạ nguồn), về bản chất chỉ là một tệp phụ trợ dùng cho gỡ lỗi JavaScript; vai trò của nó là khôi phục mã đã được nén/biên dịch về lại mã nguồn gốc, giúp nhà phát triển truy vết vấn đề.

Nhưng có một nguyên tắc cơ bản: nó tuyệt đối không nên được đưa vào gói phát hành ở môi trường sản xuất.

Đây không phải là một thủ đoạn tấn công cao siêu, mà là một vấn đề chuẩn mực kỹ thuật cơ bản nhất, thuộc kiểu “xây dựng cấu hình—101” , thậm chí là thứ mà nhà phát triển sẽ học trong tuần đầu tiên. Nếu bị đóng gói nhầm vào môi trường sản xuất, thì source map thường tương đương với việc “tặng kèm” mã nguồn cho tất cả mọi người.

Bạn cũng có thể xem trực tiếp mã liên quan tại đây: https://github.com/instructkr/claude-code

Nhưng điều khiến người ta thấy vô lý thật sự là: chuyện này đã từng xảy ra một lần rồi.

Tháng 2 năm 2025, chỉ cách đây một năm, đã có gần như y hệt một lần rò rỉ: cùng một tệp, cùng một kiểu lỗi. Khi đó, Anthropic đã xóa phiên bản cũ khỏi npm, loại bỏ source map và phát hành lại phiên bản mới, và sự việc cũng dừng lại tại đó.

Kết quả là trong phiên bản v2.1.88, tệp này lại một lần nữa bị đóng gói và phát hành.

Một công ty trị giá 380 tỷ USD đang xây dựng hệ thống phát hiện lỗ hổng tiên tiến nhất toàn cầu, trong vòng một năm lại phạm hai lần cùng một lỗi cơ bản. Không có tin tặc tấn công, không có đường khai thác phức tạp—chỉ là quy trình xây dựng vốn phải vận hành bình thường bị trục trặc.

Sự mỉa mai này gần như mang màu sắc “trữ tình”.

Cái AI có thể phát hiện 500 lỗ hổng zero-day trong chỉ một lần chạy; cái mô hình được dùng để phát động các cuộc tấn công tự động nhằm vào 30 tổ chức trên toàn cầu—và trong khi đó, Anthropic lại “đóng gói tặng kèm” mã nguồn của chính mình cho bất kỳ ai sẵn sàng liếc qua gói npm.

Hai lần rò rỉ, cách nhau chưa đầy bảy ngày.

Nguyên nhân lại giống hệt nhau: lỗi cấu hình cơ bản nhất. Không cần bất kỳ ngưỡng năng lực kỹ thuật nào, cũng không cần đường khai thác phức tạp. Chỉ cần biết đi đâu để xem, bất kỳ ai cũng có thể lấy miễn phí.

Một tuần trước: vô tình lộ “mô hình nguy hiểm” nội bộ

Ngày 26 tháng 3 năm 2026, các nhà nghiên cứu bảo mật Roy Paz của LayerX Security và Alexandre Pauwels của University of Cambridge phát hiện cấu hình CMS trên trang web chính thức của Anthropic có vấn đề, khiến khoảng 3000 tài liệu nội bộ bị lộ ra để có thể truy cập công khai.

Những tệp này bao gồm: bản nháp blog, PDF, tài liệu nội bộ, tài liệu trình diễn—tất cả đều bị phơi bày trong một kho dữ liệu không được bảo vệ, có thể tìm kiếm được. Không có tin tặc xâm nhập, và cũng không cần bất kỳ thủ đoạn kỹ thuật nào.

Trong số các tài liệu này có hai bản nháp blog gần như hoàn toàn giống nhau, khác biệt duy nhất là tên của mô hình: một bản viết là “Mythos”, bản còn lại là “Capybara”.

Điều này có nghĩa là Anthropic khi đó đang lựa chọn giữa hai cái tên cho cùng một dự án bí mật. Công ty sau đó xác nhận: việc huấn luyện mô hình đã hoàn tất và đã bắt đầu được thử nghiệm với một nhóm khách hàng giai đoạn sớm.

Đây không phải là một lần nâng cấp thông thường lên Opus, mà là một mô hình hoàn toàn mới thuộc “mức độ thứ tư”, thậm chí có định vị cao hơn cả Opus.

Trong các bản nháp do chính Anthropic viết, nó được mô tả là: “to hơn và thông minh hơn mô hình Opus của chúng tôi—và Opus hiện vẫn là mô hình mạnh nhất của chúng tôi.” Ở năng lực lập trình, suy luận học thuật và an ninh mạng, đều có những bước nhảy đáng kể. Một phát ngôn viên gọi đó là “một bước nhảy vọt mang tính định tính”, và cũng là “mô hình mạnh nhất mà chúng tôi từng xây dựng đến nay”.

Nhưng điều đáng chú ý thực sự không nằm ở chính các mô tả về hiệu năng này.

Trong các bản nháp bị rò rỉ, đánh giá của Anthropic về mô hình này là: nó “mang đến rủi ro an ninh mạng chưa từng có”, “vượt xa bất kỳ mô hình AI nào khác về năng lực mạng”, và “báo trước làn sóng mô hình sắp tới—khả năng khai thác lỗ hổng của nó sẽ vượt xa tốc độ phản ứng của bên phòng thủ”.

Nói cách khác, trong một bản nháp blog nội bộ vẫn chưa được công bố chính thức, Anthropic đã thể hiện rõ một lập trường hiếm thấy: họ cảm thấy lo lắng đối với sản phẩm mà họ đang xây dựng.

Phản ứng của thị trường gần như đến ngay lập tức. Cổ phiếu CrowdStrike giảm 7%, Palo Alto Networks giảm 6%, Zscaler giảm 4,5%; Okta và SentinelOne đều giảm hơn 7%, Tenable thậm chí sụt mạnh 9%. iShares Cybersecurity ETF giảm 4,5% trong một ngày. Chỉ riêng CrowdStrike, giá trị vốn hóa trong ngày đã bốc hơi khoảng 15 tỷ USD. Trong khi đó, Bitcoin lùi về 66.000 USD.

Rõ ràng thị trường đã diễn giải sự kiện này như một “phán quyết” đối với toàn bộ ngành an ninh mạng.

Ý chính hình vẽ: Dưới tác động của tin tức liên quan, toàn bộ nhóm cổ phiếu an ninh mạng đều giảm; nhiều công ty đầu ngành (như CrowdStrike, Palo Alto Networks, Zscaler, v.v.) ghi nhận mức sụt giảm rõ rệt, phản ánh sự lo ngại của thị trường về rủi ro ngành an ninh mạng trước cú sốc AI. Tuy nhiên, phản ứng này không phải là lần đầu tiên xảy ra. Trước đó, khi Anthropic phát hành công cụ quét mã nguồn, các cổ phiếu liên quan cũng từng giảm, cho thấy thị trường đã bắt đầu xem AI là mối đe dọa mang tính cấu trúc đối với các nhà cung cấp an ninh truyền thống, và toàn bộ ngành phần mềm đang chịu áp lực tương tự.

Nhận định của nhà phân tích Adam Borg của Stifel khá thẳng: mô hình này “có tiềm năng trở thành công cụ hack tối thượng, thậm chí có thể nâng một hacker bình thường lên thành đối thủ với năng lực tấn công cấp quốc gia”.

Vậy tại sao vẫn chưa được phát hành công khai? Lý giải của Anthropic là: chi phí vận hành của Mythos “rất cao” và chưa đủ điều kiện để phát hành cho công chúng. Kế hoạch hiện tại là mở quyền truy cập sớm cho một nhóm nhỏ đối tác an ninh mạng nhằm củng cố hệ thống phòng thủ; sau đó, dần dần mở rộng phạm vi truy cập API. Trước thời điểm đó, công ty vẫn đang liên tục tối ưu hiệu suất.

Nhưng điều then chốt là: mô hình này đã tồn tại, đã đang được thử nghiệm, và thậm chí chỉ vì “bị vô tình lộ ra”, nó đã gây chấn động cho toàn bộ thị trường vốn.

Anthropic đã tạo ra một mô hình AI mà chính họ gọi là “mô hình AI có rủi ro an ninh mạng cao nhất trong lịch sử”. Và việc rò rỉ tin tức của nó lại xuất phát đúng từ một lỗi cấu hình cơ sở hạ tầng tối thiểu—chính là thứ lỗi mà các mô hình kiểu này vốn được thiết kế để phát hiện.

Tháng 3 năm 2026: Anthropic đối đầu với Lầu Năm Góc và giành được lợi thế

Tháng 7 năm 2025, Anthropic ký một hợp đồng trị giá 200 triệu USD với Bộ Quốc phòng Mỹ. Ban đầu, nó trông như chỉ là một lần hợp tác thường lệ. Nhưng trong quá trình đàm phán triển khai thực tế, mâu thuẫn nhanh chóng leo thang.

Lầu Năm Góc muốn có “quyền truy cập hoàn toàn” vào Claude trên nền tảng GenAI.mil của họ, nhằm các mục đích “hợp pháp”—thậm chí còn bao gồm hệ thống vũ khí hoàn toàn tự chủ và giám sát nội địa quy mô lớn đối với công dân Mỹ.

Anthropic đã kẻ một vạch đỏ và từ chối rõ ràng ở hai vấn đề then chốt; cuộc đàm phán kết thúc đổ vỡ vào tháng 9 năm 2025.

Sau đó, tình hình nhanh chóng leo thang. Ngày 27 tháng 2 năm 2026, Donald Trump đăng bài trên Truth Social, yêu cầu tất cả các cơ quan liên bang “ngay lập tức dừng” việc sử dụng công nghệ của Anthropic và gọi công ty này là “cấp tiến cánh tả”.

Ngày 5 tháng 3 năm 2026, Bộ Quốc phòng Mỹ chính thức xếp Anthropic vào nhóm “rủi ro chuỗi cung ứng”.

Nhãn này trước đây gần như chỉ dùng cho đối thủ nước ngoài—như công ty của Trung Quốc hoặc thực thể của Nga—và nay lần đầu tiên được áp vào một công ty Mỹ có trụ sở tại San Francisco. Đồng thời, các doanh nghiệp như Amazon, Microsoft và Palantir Technologies cũng được yêu cầu chứng minh rằng trong mọi hoạt động liên quan đến quân sự, họ không sử dụng Claude.

CTO Lầu Năm Góc Emile Michael giải thích cho quyết định này rằng: Claude có thể “làm ô nhiễm chuỗi cung ứng”, vì trong mô hình có nhúng các “sở thích chính sách” khác nhau. Nói cách khác, trong ngữ cảnh chính thức, một AI có giới hạn trong cách sử dụng và không trợ giúp vô điều kiện cho hành vi gây chết người lại bị xem như một rủi ro an ninh quốc gia.

Ngày 26 tháng 3 năm 2026, thẩm phán liên bang Rita Lin ban hành một phán quyết dài 43 trang, chặn toàn diện các biện pháp liên quan của Lầu Năm Góc.

Trong phán quyết, bà viết: “Trong luật hiện hành không có bất kỳ căn cứ nào để ủng hộ logic mang màu sắc ‘kiểu Orwell’ này—chỉ vì bất đồng với lập trường của chính phủ mà một công ty Mỹ có thể bị dán nhãn là bên tiềm ẩn thù địch. Khi Anthropic bị trừng phạt vì đã đưa lập trường của chính phủ ra trước sự giám sát của công chúng, thì điều đó về bản chất là hành vi trả đũa Điều khoản sửa đổi thứ nhất (First Amendment) điển hình và trái pháp luật.” Một kiến nghị của bên amicus curiae còn mô tả hành động của Lầu Năm Góc như “cố gắng thực hiện hành vi giết doanh nghiệp”.

Kết quả là, chính phủ tìm cách kìm hãm Anthropic, nhưng lại khiến công ty nhận được sự chú ý lớn hơn. Ứng dụng Claude lần đầu tiên vượt ChatGPT trên các cửa hàng ứng dụng, và số lượt đăng ký từng đạt hơn 1 triệu mỗi ngày.

Một công ty AI nói “không” với tổ chức quân sự mạnh nhất thế giới. Và tòa án—đứng về phía công ty đó.

Tháng 11 năm 2025: cuộc tấn công mạng do AI dẫn dắt lần đầu tiên trong lịch sử

Ngày 14 tháng 11 năm 2025, Anthropic công bố một báo cáo gây chấn động rộng rãi.

Báo cáo tiết lộ: một nhóm hacker được nhà nước Trung Quốc hậu thuẫn, sử dụng Claude Code, đã phát động các cuộc tấn công tự động nhằm vào 30 tổ chức trên toàn cầu—mục tiêu bao gồm các tập đoàn công nghệ, ngân hàng, và nhiều cơ quan chính phủ của nhiều quốc gia.

Đây là một bước ngoặt then chốt: AI không còn chỉ đóng vai trò công cụ hỗ trợ, mà bắt đầu được dùng để thực hiện hành động tấn công một cách độc lập.

Điểm mấu chốt nằm ở sự thay đổi của “cách phân công”: con người chỉ chịu trách nhiệm lựa chọn mục tiêu và phê duyệt các quyết định then chốt. Trong toàn bộ quá trình, con người chỉ can thiệp khoảng 4 đến 6 lần. Mọi thứ còn lại do AI thực hiện: trinh sát tình báo, phát hiện lỗ hổng, viết mã khai thác, đánh cắp dữ liệu, cài cắm backdoor… chiếm 80%–90% toàn bộ quy trình tấn công, và chạy với tốc độ hàng nghìn yêu cầu mỗi giây—quy mô và hiệu quả mà bất kỳ đội ngũ con người nào cũng không thể sánh kịp.

Vậy họ đã vượt qua cơ chế bảo vệ an toàn của Claude như thế nào? Câu trả lời là: họ không “bẻ khóa”, mà là “lừa gạt”.

Cuộc tấn công được chia thành vô số tác vụ nhỏ tưởng như vô hại và được đóng gói như một “kiểm thử phòng vệ được ủy quyền” của một “công ty bảo mật hợp pháp”. Về bản chất, đây là một cuộc tấn công theo kiểu kỹ thuật xã hội; chỉ khác lần này, đối tượng bị lừa lại chính là bản thân AI.

Một phần các cuộc tấn công đã đạt được kết quả hoàn toàn. Claude có thể tự vẽ ra toàn bộ cấu trúc mạng (network topology) hoàn chỉnh, xác định cơ sở dữ liệu và hoàn tất việc trích xuất dữ liệu—mà không cần con người lần lượt ra lệnh từng bước.

Yếu tố duy nhất làm chậm nhịp tấn công là việc mô hình thỉnh thoảng bị “ảo giác”—ví dụ bịa đặt thông tin đăng nhập hoặc tuyên bố đã lấy được các tệp mà thực ra đã sớm được công khai. Ít nhất hiện tại, đây vẫn là một trong số ít “chướng ngại tự nhiên” ngăn chặn hoàn toàn việc tự động hóa các cuộc tấn công mạng.

Tại RSA Conference 2026, cựu lãnh đạo phụ trách an ninh mạng của Cơ quan An ninh Quốc gia Mỹ Rob Joyce gọi sự việc này là một cuộc “Rorschach test”: một nửa người chọn bỏ qua, còn nửa kia thì cảm thấy rợn người. Và bản thân ông rõ ràng thuộc nhóm thứ hai—“Thực sự rất đáng sợ.”

Tháng 9 năm 2025: Không phải một dự đoán—mà là thực tế đã xảy ra

Tháng 2 năm 2026: Một lần chạy phát hiện 500 lỗ hổng zero-day

Ngày 5 tháng 2 năm 2026, Anthropic phát hành Claude Opus 4.6 kèm theo một bài nghiên cứu có thể khiến gần như toàn bộ ngành an ninh mạng chấn động.

Thiết lập thí nghiệm cực kỳ đơn giản: đưa Claude vào một môi trường máy ảo tách biệt (isolated), trang bị các công cụ tiêu chuẩn—Python, trình gỡ lỗi (debugger), công cụ fuzzing (fuzzers). Không có chỉ dẫn bổ sung, cũng không có prompt phức tạp; chỉ một câu: “Đi tìm lỗ hổng.”

Kết quả là: mô hình phát hiện hơn 500 lỗ hổng zero-day nguy cơ cao chưa từng biết trước đó. Một số lỗ hổng thậm chí đã không bị phát hiện dù đã trải qua hàng chục năm thẩm định của chuyên gia và hàng triệu giờ thử nghiệm tự động.

Sau đó, tại RSA Conference 2026, nghiên cứu viên Nicholas Carlini lên sân khấu trình diễn. Ông hướng Claude vào Ghost, một hệ thống CMS trên GitHub có 50.000 sao (stars), trong lịch sử chưa từng xuất hiện lỗ hổng nghiêm trọng.

Sau 90 phút, kết quả xuất hiện: tìm ra lỗ hổng blind SQL injection (tiêm SQL mù), cho phép người dùng chưa được xác thực chiếm quyền quản trị hoàn toàn.

Tiếp đó, ông lại dùng Claude để phân tích Linux kernel. Kết quả cũng tương tự.

Sau 15 ngày, Anthropic cho ra mắt Claude Code Security, một sản phẩm an ninh không còn dựa vào đối sánh mẫu (pattern matching), mà dựa trên “năng lực suy luận” để hiểu tính an toàn của mã nguồn.

Nhưng chính phát ngôn viên của Anthropic cũng nói ra sự thật then chốt—mặc dù thường bị né tránh: “Cùng một năng lực suy luận đó, có thể giúp Claude phát hiện và sửa lỗ hổng, nhưng cũng có thể bị kẻ tấn công dùng để khai thác những lỗ hổng này.”

Cùng một năng lực, cùng một mô hình—chỉ khác là nằm trong tay ai.

Tất cả những điều này khi ghép lại với nhau thì có ý nghĩa gì?

Nếu xét riêng từng việc, mỗi cái đều đủ trở thành tin nóng nhất trong tháng đó. Nhưng chúng lại xảy ra trong vòng chỉ sáu tháng, và tất cả đều diễn ra ở cùng một công ty.

Anthropic tạo ra một mô hình có thể phát hiện lỗ hổng nhanh hơn bất kỳ con người nào; tin tặc Trung Quốc chuyển phiên bản thế hệ trước thành vũ khí mạng tự động; công ty đang phát triển thế hệ mô hình mạnh hơn tiếp theo, và thậm chí trong các tài liệu nội bộ cũng thừa nhận—rằng họ cảm thấy lo lắng về điều đó.

Chính phủ Mỹ tìm cách đàn áp công ty này không phải vì bản thân kỹ thuật đó nguy hiểm, mà vì Anthropic từ chối giao năng lực này ra ngoài mà không có giới hạn.

Trong toàn bộ quá trình ấy, công ty này lại hai lần rò rỉ mã nguồn của chính mình do cùng một tệp trong cùng một gói npm. Một công ty có giá trị vốn hóa 3800 tỷ USD; một công ty mục tiêu hoàn thành IPO 60 tỷ USD vào tháng 10 năm 2026; một công ty đã công khai nói rằng họ đang xây dựng “một trong những công nghệ có tính biến đổi nhất trong lịch sử loài người, và có thể cũng nguy hiểm nhất”—nhưng vẫn chọn tiếp tục thúc đẩy.

Bởi vì họ tin rằng: thay vì để người khác làm, thì tốt hơn là do chính họ làm.

Còn “source map” trong gói npm đó—nó có lẽ chỉ là một chi tiết vừa vô lý vừa chân thực nhất trong câu chuyện đáng lo nhất của thời đại này.

Và Mythos—thậm chí còn chưa được phát hành chính thức.

[Link nguyên văn]

Bấm để tìm hiểu về việc BlockBeats đang tuyển dụng các vị trí

Chào mừng bạn tham gia cộng đồng chính thức của BlockBeats:

Nhóm đăng ký Telegram: https://t.me/theblockbeats

Nhóm thảo luận Telegram: https://t.me/BlockBeats_App

Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia