Chỉ vài ngày sau vụ rò rỉ mã nguồn Claude Code, các nhà nghiên cứu tiếp tục phát hiện một lỗ hổng bảo mật nghiêm trọng trong chính công cụ này. Lỗ hổng mới được cho là có thể bị khai thác để vượt qua cơ chế phân quyền thông qua prompt injection.

Theo SecurityWeek, ngày 2/4 (giờ địa phương), sự việc bắt đầu từ ngày 31/3, khi Anthropic đăng nhầm tệp source map JavaScript dùng cho gỡ lỗi của bản cập nhật Claude Code v2.1.88 lên npm, kho lưu trữ gói công khai dành cho JavaScript.

Nhà nghiên cứu Chaofan Shou là người đầu tiên phát hiện vụ việc và đăng thông tin trên X. Từ đó, cộng đồng phát triển trên toàn cầu bắt đầu phân tích cấu trúc của Claude Code.

Melissa Bischoping, giám đốc cấp cao tại công ty an ninh mạng Tanium, nhận định vụ lộ lọt này “khác với việc rò rỉ trọng số mô hình, dữ liệu huấn luyện hay dữ liệu khách hàng” và “giống một bản thiết kế cho thấy cách Claude Code được xây dựng và vận hành”.

Theo cảnh báo, phần dữ liệu bị lộ không bao gồm trọng số mô hình Claude, dữ liệu huấn luyện, API hay thông tin đăng nhập, nên không dễ bị khai thác trực tiếp. Dù vậy, nó vẫn có thể bị lợi dụng để tạo ra ứng dụng giả mạo với giao diện tương tự Claude Code nhằm phát tán mã độc hoặc đánh cắp thông tin đăng nhập.

Nhóm red team của Adversa AI cho biết, ngoài vụ lộ mã nguồn, họ còn phát hiện một lỗ hổng nghiêm trọng khác trong Claude Code. Công cụ này sử dụng cơ chế phân quyền tự động để cho phép hoặc chặn một số lệnh nhất định. Chẳng hạn, hệ thống chặn các lệnh như curl và wget để hạn chế nguy cơ rò rỉ dữ liệu, nhưng vẫn cho phép npm và git.

Tuy nhiên, các nhà nghiên cứu cho rằng những quy tắc chặn này vẫn có thể bị vượt qua. Theo đó, Anthropic đặt giới hạn chỉ phân tích tối đa 50 lệnh con trong một lệnh phức hợp để tránh làm giao diện bị treo; nếu vượt ngưỡng này, hệ thống sẽ yêu cầu người dùng xác nhận.

Dù vậy, Adversa AI cho biết một tệp CLAUDE.md độc hại có thể thực hiện prompt injection, từ đó điều hướng AI tạo ra một pipeline chứa hơn 50 lệnh con.

Trong quá trình thử nghiệm, Adversa AI cho biết tầng an toàn của Claude LLM đã tự chặn một số payload độc hại quá rõ ràng. Tuy nhiên, nhóm này nhấn mạnh lỗ hổng ở cơ chế phân quyền là “lỗi nằm ở phần mã thực thi chính sách bảo mật, tồn tại độc lập với tầng LLM”.