Phạm Thanh Bình
Writer
Anthropic đã bí mật cài đặt mã tàng hình trên Claude Code hơn ba tháng. Sau khi bị phát hiện, người phụ trách Claude Code tuyên bố đó chỉ là hiểu lầm và sẽ gỡ bỏ mã này ngay lập tức!
Mới đây, Anthropic đã thừa nhận rằng Claude Code chứa mã độc "Trojan" và sẽ khôi phục lại phiên bản trước đó vào ngày mai.
Lý do là Anthropic đã bị phát hiện có những thủ đoạn ẩn trong Claude Code. Bắt đầu từ phiên bản 2.1.91, nó đã bí mật nhúng "mã ẩn"!
Nếu bạn đã bật proxy mạng, Claude Code sẽ bí mật truyền tải thông tin như vị trí bằng cách thực hiện các thay đổi không nhìn thấy được đối với các lời nhắc hệ thống.
Anthropic còn tiến xa hơn và cố gắng làm xáo trộn tập tin nhị phân của Mã Claude.
Thậm chí còn gây chú ý hơn, vào khoảng thời gian đó, mẫu điện thoại thế hệ tiếp theo mạnh mẽ của Anthropic, Fable 5, được cho là có khả năng giới thiệu cơ chế "xác minh danh tính thật + hạn mức tín dụng độc lập".
Nói cách khác, ngay cả khi lệnh cấm được dỡ bỏ, có tiền cũng chưa chắc đã đủ để chơi Fable 5!
Claude đã bị bắt quả tang khi đang giấu một con ngựa thành Troy.
Trong Claude Code, hệ thống có quyền quản trị cao nhất, Anthropic cài đặt mã khó hiểu và các cơ chế liên lạc bí mật tương tự như phần mềm độc hại.
Nói cách khác, "cửa hậu Trojan" trong Claude Code đã bị phát hiện!
Nguyên nhân của vụ việc vô cùng nghiêm trọng.
Một nhà phát triển thường xuyên sử dụng proxy để quản lý logic gọi hàm của GPT và Claude đột nhiên phát hiện ra rằng phiên bản mới nhất của công cụ Anthropic đã thêm một hạn chế: nó sẽ ngừng hoạt động ngay lập tức khi phát hiện thấy proxy.
Vì quá trình làm việc bị gián đoạn, nhà phát triển đã nổi giận và quyết định "tháo dỡ" Claude Code để xem bên trong có gì.
Nhưng khi hoàn thành việc phân tích ngược, những gì anh ta thấy không phải là một phán đoán logic đơn giản, mà là một đoạn mã bí mật đã nằm im lìm suốt ba tháng trời.
Đoạn mã này đã âm thầm tồn tại kể từ ngày 2 tháng 4 năm nay, nhưng Anthropic hoàn toàn không đề cập đến nó trong bất kỳ thông báo chính thức nào.
Nếu chỉ đơn giản là xác định vị trí địa lý, bạn có thể hiển thị một cửa sổ thông báo "Rất tiếc, khu vực này không khả dụng."
Nhưng Anthropic đã chọn phương pháp xảo quyệt và phức tạp nhất: kỹ thuật giấu tin.
Đoạn mã này thực hiện ba việc, mỗi việc đều nhắm trúng điểm yếu của nhà phát triển:
Phát hiện mục tiêu: Kiểm tra xem URL proxy của bạn có phải là một tên miền cụ thể, có khớp với danh sách các tên miền và/hoặc có chứa phòng thí nghiệm AI cụ thể hay không.
Che giấu XOR để tránh bị phần mềm bảo mật phát hiện, nó sử dụng mã hóa XOR.
Đây thường là biện pháp đối phó mà virus hoặc Trojan sử dụng để né tránh phần mềm diệt virus.
"Điện tín bí mật" không thể nhìn thấy bằng mắt thường: Đây là bước đi khéo léo nhất.
Kết quả kiểm tra sẽ không được báo cáo là lỗi, mà sẽ được trả về bằng cách sửa đổi các ký tự trong lời nhắc hệ thống.
Hãy nhìn kỹ, đây là loại chi tiết "cấp độ gián điệp":
Nó thay thế dấu gạch ngang (-) trong định dạng ngày tháng bằng dấu gạch chéo (/) (ví dụ: 2024/06/30); một cách tinh tế hơn, nó thay thế ký tự dấu nháy đơn (') trong Unicode.
Những gì bạn nhìn thấy bằng mắt thường có thể đều là "", nhưng đối với máy tính, U+2019 và U+0027 là hai tín hiệu hoàn toàn khác nhau.
Mỗi thay đổi nhỏ về định dạng đều là một thông báo lớn gửi đến máy chủ của Anthropic: "Báo cáo, đã phát hiện người dùng trái phép!"
Nếu hình mờ được hiển thị công khai trong tài liệu, nó được coi là một chiến lược sản phẩm. Nhưng hình mờ có ý nghĩa gì nếu nó được mã hóa, ẩn trong mã nhị phân hoặc bị xóa khỏi nhật ký cập nhật?
Đây chính là mấu chốt của vấn đề.
Tại sao Anthropic lại làm mọi việc bí mật đến vậy?
Chỉ có một lý do cốt lõi duy nhất: nỗi sợ hãi.
Các ông lớn trong lĩnh vực trí tuệ nhân tạo ở Thung lũng Silicon đang trải qua một nỗi lo lắng chung - họ sợ " sự phân tách mô hình". Công nghệ (chưng cất).
Để ngăn chặn kiểu "ăn cắp công nghệ" này, Anthropic đã chọn cách xây dựng một bức tường vô hình ở phía sau.
Vấn đề là "sự phòng thủ" này lại phải trả giá bằng việc hy sinh tính toàn vẹn kỹ thuật số của người dùng trên toàn thế giới.
Các bạn cứ liên tục nói về "an ninh AI" và tự xưng là một công ty AI "tuân thủ hiến pháp", nhưng rồi lại quay lưng và bắt đầu chơi trò gián điệp trong hệ thống của người dùng?
Lối tư duy "làm điều ác nhân danh công lý" này làm tôi nhớ đến một câu tục ngữ cổ: Khi bạn nhìn vào vực sâu, vực sâu cũng nhìn lại bạn.
Để ngăn chặn những "kẻ trộm bí mật" đó, Anthropic đã biến hình thành thứ mà nó ghét nhất.
Trớ trêu thay, phương pháp này không hề tinh vi, và bất kỳ nhân viên an ninh nào có chút kỹ năng kỹ thuật đều có thể dễ dàng vượt qua nó.
Cuối cùng, chỉ những nhà phát triển phần mềm bình thường mới phải gánh chịu hậu quả.
Hôm nay chỉ là kiểm tra múi giờ; ngày mai có thể là lỗi hệ thống hoặc rò rỉ dữ liệu.
Tệ hơn nữa, ứng dụng khách CLI của Claude Code thực chất lại che giấu danh sách các trạm chuyển tiếp, và Anthropic can thiệp vào các yêu cầu từ người dùng của các trạm chuyển tiếp này!
Mới đây, Thariq, người đứng đầu Claude Code, đã lên tiếng về vấn đề "Cổng Trojan của Claude Code":
Phương pháp kỳ quặc nhất mà một cư dân mạng tên WquGuru từng thấy là: "Nhờ một người bạn ở châu Âu mua một máy tính vật lý rồi phát triển phần mềm từ xa như bình thường. Cách này gần như đảm bảo tránh được 100% các vấn đề."
Nhưng phương án tiếp theo khả thi hơn đối với hầu hết mọi người có lẽ là:
Duy trì tính nhất quán trong nhận dạng dấu vân tay người dùng - múi giờ địa phương + khu vực phương thức thanh toán + khu vực vị trí IP—ba điểm này là vô cùng quan trọng.
Tài liệu tham khảo:
Mới đây, Anthropic đã thừa nhận rằng Claude Code chứa mã độc "Trojan" và sẽ khôi phục lại phiên bản trước đó vào ngày mai.
Lý do là Anthropic đã bị phát hiện có những thủ đoạn ẩn trong Claude Code. Bắt đầu từ phiên bản 2.1.91, nó đã bí mật nhúng "mã ẩn"!
Nếu bạn đã bật proxy mạng, Claude Code sẽ bí mật truyền tải thông tin như vị trí bằng cách thực hiện các thay đổi không nhìn thấy được đối với các lời nhắc hệ thống.
Anthropic còn tiến xa hơn và cố gắng làm xáo trộn tập tin nhị phân của Mã Claude.
Thậm chí còn gây chú ý hơn, vào khoảng thời gian đó, mẫu điện thoại thế hệ tiếp theo mạnh mẽ của Anthropic, Fable 5, được cho là có khả năng giới thiệu cơ chế "xác minh danh tính thật + hạn mức tín dụng độc lập".
Nói cách khác, ngay cả khi lệnh cấm được dỡ bỏ, có tiền cũng chưa chắc đã đủ để chơi Fable 5!
Claude đã bị bắt quả tang khi đang giấu một con ngựa thành Troy.
Trong Claude Code, hệ thống có quyền quản trị cao nhất, Anthropic cài đặt mã khó hiểu và các cơ chế liên lạc bí mật tương tự như phần mềm độc hại.
Nói cách khác, "cửa hậu Trojan" trong Claude Code đã bị phát hiện!
Nguyên nhân của vụ việc vô cùng nghiêm trọng.
Một nhà phát triển thường xuyên sử dụng proxy để quản lý logic gọi hàm của GPT và Claude đột nhiên phát hiện ra rằng phiên bản mới nhất của công cụ Anthropic đã thêm một hạn chế: nó sẽ ngừng hoạt động ngay lập tức khi phát hiện thấy proxy.
Vì quá trình làm việc bị gián đoạn, nhà phát triển đã nổi giận và quyết định "tháo dỡ" Claude Code để xem bên trong có gì.
Nhưng khi hoàn thành việc phân tích ngược, những gì anh ta thấy không phải là một phán đoán logic đơn giản, mà là một đoạn mã bí mật đã nằm im lìm suốt ba tháng trời.
Đoạn mã này đã âm thầm tồn tại kể từ ngày 2 tháng 4 năm nay, nhưng Anthropic hoàn toàn không đề cập đến nó trong bất kỳ thông báo chính thức nào.
Nếu chỉ đơn giản là xác định vị trí địa lý, bạn có thể hiển thị một cửa sổ thông báo "Rất tiếc, khu vực này không khả dụng."
Nhưng Anthropic đã chọn phương pháp xảo quyệt và phức tạp nhất: kỹ thuật giấu tin.
Đoạn mã này thực hiện ba việc, mỗi việc đều nhắm trúng điểm yếu của nhà phát triển:
Phát hiện mục tiêu: Kiểm tra xem URL proxy của bạn có phải là một tên miền cụ thể, có khớp với danh sách các tên miền và/hoặc có chứa phòng thí nghiệm AI cụ thể hay không.
Che giấu XOR để tránh bị phần mềm bảo mật phát hiện, nó sử dụng mã hóa XOR.
Đây thường là biện pháp đối phó mà virus hoặc Trojan sử dụng để né tránh phần mềm diệt virus.
"Điện tín bí mật" không thể nhìn thấy bằng mắt thường: Đây là bước đi khéo léo nhất.
Kết quả kiểm tra sẽ không được báo cáo là lỗi, mà sẽ được trả về bằng cách sửa đổi các ký tự trong lời nhắc hệ thống.
Hãy nhìn kỹ, đây là loại chi tiết "cấp độ gián điệp":
Nó thay thế dấu gạch ngang (-) trong định dạng ngày tháng bằng dấu gạch chéo (/) (ví dụ: 2024/06/30); một cách tinh tế hơn, nó thay thế ký tự dấu nháy đơn (') trong Unicode.
Những gì bạn nhìn thấy bằng mắt thường có thể đều là "", nhưng đối với máy tính, U+2019 và U+0027 là hai tín hiệu hoàn toàn khác nhau.
Mỗi thay đổi nhỏ về định dạng đều là một thông báo lớn gửi đến máy chủ của Anthropic: "Báo cáo, đã phát hiện người dùng trái phép!"
Nếu hình mờ được hiển thị công khai trong tài liệu, nó được coi là một chiến lược sản phẩm. Nhưng hình mờ có ý nghĩa gì nếu nó được mã hóa, ẩn trong mã nhị phân hoặc bị xóa khỏi nhật ký cập nhật?
Đây chính là mấu chốt của vấn đề.
Tại sao Anthropic lại làm mọi việc bí mật đến vậy?
Chỉ có một lý do cốt lõi duy nhất: nỗi sợ hãi.
Các ông lớn trong lĩnh vực trí tuệ nhân tạo ở Thung lũng Silicon đang trải qua một nỗi lo lắng chung - họ sợ " sự phân tách mô hình". Công nghệ (chưng cất).
Để ngăn chặn kiểu "ăn cắp công nghệ" này, Anthropic đã chọn cách xây dựng một bức tường vô hình ở phía sau.
Vấn đề là "sự phòng thủ" này lại phải trả giá bằng việc hy sinh tính toàn vẹn kỹ thuật số của người dùng trên toàn thế giới.
Các bạn cứ liên tục nói về "an ninh AI" và tự xưng là một công ty AI "tuân thủ hiến pháp", nhưng rồi lại quay lưng và bắt đầu chơi trò gián điệp trong hệ thống của người dùng?
Lối tư duy "làm điều ác nhân danh công lý" này làm tôi nhớ đến một câu tục ngữ cổ: Khi bạn nhìn vào vực sâu, vực sâu cũng nhìn lại bạn.
Để ngăn chặn những "kẻ trộm bí mật" đó, Anthropic đã biến hình thành thứ mà nó ghét nhất.
Trớ trêu thay, phương pháp này không hề tinh vi, và bất kỳ nhân viên an ninh nào có chút kỹ năng kỹ thuật đều có thể dễ dàng vượt qua nó.
Cuối cùng, chỉ những nhà phát triển phần mềm bình thường mới phải gánh chịu hậu quả.
Hôm nay chỉ là kiểm tra múi giờ; ngày mai có thể là lỗi hệ thống hoặc rò rỉ dữ liệu.
Tệ hơn nữa, ứng dụng khách CLI của Claude Code thực chất lại che giấu danh sách các trạm chuyển tiếp, và Anthropic can thiệp vào các yêu cầu từ người dùng của các trạm chuyển tiếp này!
Mới đây, Thariq, người đứng đầu Claude Code, đã lên tiếng về vấn đề "Cổng Trojan của Claude Code":
Câu hỏi đặt ra là, nếu việc này không bị phát hiện, liệu Anthropic có thực sự quay trở lại chính sách cũ hay không? Vậy làm thế nào để tôi có được gói đăng ký Claude Code ổn định?Đây là một thử nghiệm mà chúng tôi đã triển khai vào tháng 3 để ngăn chặn các nhà bán lẻ trái phép lạm dụng tài khoản và phòng ngừa các hành vi chiếm đoạt tài sản bất hợp pháp.
Kể từ đó, nhóm đã triển khai các biện pháp giảm thiểu mạnh mẽ hơn; trên thực tế, chúng tôi đã lên kế hoạch loại bỏ tính năng này từ lâu. Chúng tôi đã hợp nhất yêu cầu kéo (PR) và dự kiến sẽ hoàn toàn khôi phục lại trong bản phát hành ngày mai.
Phương pháp kỳ quặc nhất mà một cư dân mạng tên WquGuru từng thấy là: "Nhờ một người bạn ở châu Âu mua một máy tính vật lý rồi phát triển phần mềm từ xa như bình thường. Cách này gần như đảm bảo tránh được 100% các vấn đề."
Nhưng phương án tiếp theo khả thi hơn đối với hầu hết mọi người có lẽ là:
Duy trì tính nhất quán trong nhận dạng dấu vân tay người dùng - múi giờ địa phương + khu vực phương thức thanh toán + khu vực vị trí IP—ba điểm này là vô cùng quan trọng.
Tài liệu tham khảo:
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview