Anthropic bóp d*i vĩ đại: Lộ sạch source code Claude vì quên xóa file .map trên NPM

Đang ngồi nhâm nhi ly trà đá đầu ngõ thì thấy cõi mạng rần rần. Anthropic - cái tên đang làm mưa làm gió giới AI, kỳ lân tỷ đô được anh em dev tung hô - vừa có một pha tự hủy đi vào lòng đất. Chuyện là các pháp sư bên ấy vừa để lộ sạch sành sanh mã nguồn của công cụ Claude Code. Lý do nghe xong anh em sẽ thấy quen thuộc vãi chưởng: quên xóa file .map khi publish package lên NPM.

Toàn cảnh pha úp sọt mã nguồn ngớ ngẩn nhất năm

Cho ông nào chưa biết hoặc lười đọc báo tiếng Anh, thì Claude Code là cái CLI tool xịn xò con bò mà Anthropic mới nhá hàng. Thay vì lên web chat chat, các ông gõ lệnh ở terminal để con AI nó cày code, fix bug luôn cho.

Nhưng đời không như mơ, một cao nhân ẩn danh trên mạng đã phát hiện ra các dev của Anthropic khi build và publish cái package này lên public NPM registry, lại vui vẻ để nguyên cái source map file (.map). Dành cho mấy chiếu mới: file này sinh ra để map cái đống code đã bị minified (băm nát, nén lại) về nguyên trạng source code ban đầu để dễ debug. Ném file .map lên production thì khác quái gì mời trộm vào nhà giao luôn chìa khóa két sắt?

Nhờ pha "cẩu thả" này, giang hồ đã dịch ngược và bới ra được cả tá bí mật động trời trong source code của Claude:

• Fake tools: Nghe Ảo ma Canada chưa? Trong code chứa các công cụ "giả" được dựng lên có vẻ như để test hoặc lừa con AI chạy theo một luồng nhất định.
• Undercover mode: Một cái mode ẩn danh, phong ấn sức mạnh nào đó chưa được bật lên.
• Frustration regexes: Đây mới là cái hài hước nhất này! Các pháp sư Anthropic phải viết hẳn một nùi Regular Expressions (Regex) để... đo độ cay cú của user. Tức là khi các ông điên tiết vì code lỗi, gõ chửi thề (Fck, sht, đm con AI ngu này...), cái regex này sẽ bắt được và kích hoạt kịch bản xoa dịu.

Giang cư mận cười vào mặt tỷ phú

Dù bài post gốc trên Hacker News không có nhiều comments trực tiếp, nhưng lượn một vòng Reddit với Twitter thì anh em dev đang chia phe combat và cười ẻ vào sự cố này:

1. Phe "bằng chứng thép": Khá nhiều anh em hả hê kiểu: "Thấy chưa, tỷ đô vạn đô thì lúc buồn ngủ deploy cũng quên check config Webpack/Vite như tao với mày thôi!". Thật sự, vụ lọt file .map lên production nó là lỗi "quốc dân" cmnr.
2. Phe đam mê Regex: Đa số dev đều bò ra cười với cái Frustration regexes. Hóa ra đằng sau sự thông minh vô cực của AI (AGI cmnr), đằng sau những ai tools ma thuật mà thiên hạ đang bú trend, vẫn là những dòng if/else và regex rách để dỗ dành cảm xúc của lũ coder đang rụng tóc.
3. Phe thuyết âm mưu: Một vài lão quái thì xoa cằm suy ngẫm: "Làm đo gì có chuyện đội ngũ kỹ sư top 1 thế giới lại mắc lỗi lùa gà thế này? Chắc chắn là Leak Marketing, giả vờ lộ để Pr cho cái Claude Code thôi!"*. Cũng rất ma giáo, không loại trừ khả năng này.

Tóm cái váy lại: Bài học xương máu cho anh em

Góc nhìn từ C4F thì drama này giải trí là chính, nhưng cũng nhắc nhở anh em mấy cái gạch đầu dòng giữ cần câu cơm:

• Check kỹ Build Config: Trừ khi anh em muốn open-source project của mình, còn không thì check kỹ file tsconfig.json, webpack.config.js hay vite.config.js trước khi build. Tuyệt đối sourcemap: false khi đẩy lên production môi trường public nhé. Sập server hay bể dự án vì mấy cái tào lao này sếp chửi cho vuốt mặt không kịp.
• Đừng thần thánh hóa AI: Thấy đấy, siêu AI cũng dùng Regex bắt keyword để đoán cảm xúc người dùng thôi. Công nghệ lõi cuối cùng vẫn nằm ở logic và cách chúng ta handle các case oái oăm.
• Ai cũng có thể bóp team: Đừng tự ti khi gây ra bug. Đến kỹ sư lương nửa triệu đô ở thung lũng Silicon còn quên xóa file .map thì anh em lỡ drop nhầm cái table test cũng... bình thường thôi (nhưng nhớ backup nhé, không là cấm chat luôn đấy).

Chúc anh em một ngày code không bug và nhớ dọn dẹp .npmignore cho cẩn thận!

---

Nguồn: Hacker News | Chi tiết vụ leak