Claude Code lộ sạch mã nguồn trên NPM: Khi pháp sư AI tỷ đô dính lỗi thực tập sinh

Anthropic vừa khua chiêng gõ mõ ra mắt con AI CLI mới toanh mang tên Claude Code. Đang tính gáy vang trời thì oạch, lộ cmn toàn bộ mã nguồn. Lỗi tại hacker siêu đẳng nào chăng? Không các ông ạ, lỗi tại một cái file .map chết tiệt nằm chễm chệ trên NPM. Các pháp sư tỷ đô làm AI xịn xò con bò thế đ*o nào lại dính quả lỗi thực tập sinh thế này?

Tóm tắt nhanh pha "tự hủy" đi vào lòng đất

Chuyện là vầy, Anthropic tung ra Claude Code dưới dạng một package trên NPM để anh em dev tải về dùng qua terminal. Nhưng có vẻ thanh niên dev nào đó chịu trách nhiệm publish đã ngủ gật cmn lúc setup CI/CD.

Họ build code đàng hoàng, nhưng quên béng mất việc tắt sourcemap hoặc đưa nó vào .npmignore. Kết quả? Cái file .map bay thẳng lên production. Dành cho ông nào chưa biết hoặc quên, file source map dùng để map code đã bị nén (minified) về lại source gốc (thường là TypeScript) để debug cho dễ. Việc để lọt nó lên NPM chả khác nào đưa chìa khóa nhà cho thiên hạ rồi bảo "các anh vào tự nhiên".

Thánh nhân đãi kẻ khù khờ, các tay to dạo quanh NPM bế ngay đống source về mổ xẻ, reverse engineer ngược lại mã nguồn gốc. Và bùm, bên trong đó chứa cả đống trò hay ho: từ các "fake tools", chế độ "undercover mode" chạy ngầm, cho đến một cái gọi là "frustration regex" – một đoạn regex sinh ra chỉ để bắt mạch xem user có đang chửi thề hay cáu gắt không để con AI còn biết đường mà xoa dịu. Ảo ma chưa?

Giang cư mận đang tế sống thế nào?

Anh em trong giới gõ phím tất nhiên không bỏ qua cơ hội ngàn vàng này để combat. Lướt qua mấy diễn đàn hóng hớt, thấy giang cư mận chia làm mấy phe rõ rệt:

• Phe hả hê, mỉa mai: "Công ty định giá mấy chục tỷ đô, dev toàn siêu nhân mà quy trình release rách thế? Mấy cái này team tôi làm sai là ăn chửi sấp mặt rồi."
• Phe tò mò mổ xẻ code: Bọn này thì khoái chí vì được xem ruột gan bọn tay to code thế nào. Nhiều ông thở phào nhận ra "À, hóa ra code của Big Tech cũng toàn if-else chắp vá, hardcode búa xua như mình thôi". Đặc biệt quả "frustration regex" đang thành meme mới, kiểu viết regex để nhận diện user chửi thề đúng là một tầm cao mới của customer service.
• Phe thuyết âm mưu: Vài đạo hữu ma giáo lại xoa cằm suy ngẫm: "Biết đâu bọn nó cố tình leak để tạo viral marketing?" Thuyết này nghe hơi dị giáo, nhưng ở cái đất tech drama này thì quả thật đ*o gì cũng có thể xảy ra.

Chốt hạ: Bài học xương máu cho anh em thợ gõ

Vụ này hài thì có hài, nhưng cười người hôm trước hôm sau lỡ tay push nhầm key lên Github là mếu đấy các đồng đạo ạ.

Tool AI có xịn đến mấy, công nghệ có bá đạo đến đâu thì cái thằng setup config cuối cùng vẫn là con người. Đừng thần thánh hóa Big Tech. Bài học vỡ lòng cho anh em mình: làm ơn rà soát kỹ cái .npmignore, cấu hình tsconfig.json, webpack, hay vite các kiểu. Đừng để lọt sourceMap: true lên production. Chỉ một dòng config ngu học thôi là bay luôn cái chén cơm của cả công ty đấy.

Còn bây giờ, tôi đi check lại đống repo của tôi xem có lọt file .env hay .map nào không đây. Chào thân ái và quyết thắng!

---

Nguồn hóng: Hacker News Thread hóng hớt thêm: The Claude Code Source Leak