Rò rỉ mã nguồn Claude chỉ ra rõ hơn những sai sót lớn trong supply chain
Nhiều cuộc tấn công mạng tinh vi nhắm vào các dự án mã nguồn mở khác nhau, trong đó có dự án quét bảo mật Trivy, package Javascript Axios phổ biến, và giờ đây là việc Anthropic vô tình công bố mã nguồn của sản phẩm chủ lực Claude Code - tất cả chỉ trong vòng 10 ngày - cho thấy một xu hướng đáng lo ngại về rủi ro “tự gây hại” đối với chuỗi cung ứng phần mềm.
Attacker đã lợi dụng một lỗi cấu hình GitHub Action trong Trivy và trong thời gian team dev chưa khắc phục được sự cố đã thu thập thông tin đăng nhập cần thiết để phát tán mã độc. Việc tài khoản của nhân sự bảo trì chính của Axios bị xâm phạm đã dẫn đến việc các Trojan backdoor xâm nhập vào môi trường phát triển. Các vụ xâm phạm khác bao gồm KICS static-code của công ty an ninh mạng Checkmarx, thư viện Python mã nguồn mở LiteLLM. Và mới đây, lỗi do con người đã dẫn đến việc công bố hơn nửa triệu dòng mã nguồn gói npm Claude Code của Anthropic.
Môi trường phát triển và quy trình phát triển phần mềm đã trở thành những điểm yếu chính, theo một chuyên gia tại Straiker - công ty bảo mật agentic AI, đơn vị đã công bố một phân tích về sự cố Anthropic.
"Các workstation của developer là những khu vực chứa nhiều thông tin xác thực, có độ tin cậy cao nhưng ít được chú ý, và các AI coding agent hoạt động bên trong chúng đang làm gia tăng mức độ lây nhiễm. Claude Code có hơn 25 trình xác thực bảo mật bash trong môi trường runtime - đây thực sự là kỹ thuật bảo mật tinh vi - nhưng lại phát hành một bản đồ mã nguồn 59,8MB lên một registry công khai vì quy trình publish thiếu bước kiểm tra nội dung cơ bản."
Anthropic đã thừa nhận vụ rò rỉ và gửi thông báo vi phạm bản quyền đến gần 100 bản sao trên GitHub, trong khi đó vẫn cho phép người dùng sử dụng. Ví dụ một người dùng sử dụng các AI agent để chỉnh sửa và dịch mã sang Python và Rust, vẫn tiếp tục host phần mềm. Checkmarx đã thừa nhận vụ xâm phạm công cụ static-analysis mã nguồn mở KICS của mình thông qua GitHub Actions và kêu gọi các nhà phát triển thu hồi và thay đổi các secret, đồng thời xem xét lại các GitHub Actions pipeline của họ để tìm các dấu hiệu đáng ngờ.
Tuy nhiên, các vấn đề không chỉ gói gọn trong những sự cố riêng lẻ, ví dụ hacker tìm ra các lỗ hổng zero-day exploits trong phần mềm mã nguồn mở. Thay vào đó, các sự cố thường là một loạt những điểm yếu phổ biến trong hệ sinh thái, theo nhà nghiên cứu bảo mật chính tại Wiz, một công ty an ninh mạng đám mây và cũng là công ty con của Google. Mỗi sự cố dường như bắt nguồn từ một lỗi khác nhau - cấu hình sai GitHub Actions, tấn công lừa đảo - social engineering - nhắm đến người quản lý dự án, và sự thiếu minh bạch trong việc xác thực thông tin đăng nhập. Nhưng vấn đề thực sự là chuỗi tác động dây chuyền, ông nói.
"Chúng tôi đã xây dựng một infrastructure cho phần mềm toàn cầu dựa trên rất nhiều nỗ lực tình nguyện từ cộng đồng mã nguồn mở, điều này tạo ra một lớp bề mặt bảo mật vô cùng không đồng đều. Khi kẻ tấn công nhắm vào mắt xích yếu nhất trong chuỗi các dependency bắc cầu, tác động xuống phía dưới sẽ rất lớn, biến điều lẽ ra là một giải pháp 'đơn giản' thành một vấn đề phối hợp phức tạp trên toàn hệ sinh thái.”
Continuous Integration, Continuous Exposure - Tích hợp liên tục, nguy cơ bị tấn công liên tục?
Các sự cố này làm dấy lên một thực tế rằng hacker đang nhắm mục tiêu vào môi trường CI/CD. Hệ sinh thái phức tạp này không chỉ phải bảo vệ thông tin đăng nhập nhạy cảm mà còn phải quản lý các trusted distribution path. Nếu bị xâm phạm, malware có thể được đẩy xuống tất cả các phần mềm được sử dụng trong một dự án open-source cụ thể.
“Chuỗi cung ứng cần được coi là cơ sở hạ tầng trọng yếu với các biện pháp bảo vệ được xây dựng ở mọi lớp,” chuyên gia nói. “Điều này có nghĩa là cần tăng cường bảo mật xung quanh các maintainer và publishing, xây dựng môi trường CI/CD theo giả định rằng các dependency là không đáng tin cậy, và triển khai hệ thống phát hiện trên toàn hệ sinh thái để nhanh chóng phát hiện các hành vi bất thường của gói phần mềm.”
Bởi vì như đã chỉ ra, một vụ xâm phạm duy nhất có thể dẫn đến sự tổn hại quy mô lớn trên các hệ thống doanh nghiệp. Ví dụ, sau vụ xâm phạm Trivy, những kẻ tấn công đã nhanh chóng mở rộng truy cập trái phép ban đầu, thu thập thêm thông tin đăng nhập, lan sang các dịch vụ và phát tán mã độc. Trong khi đó, “phạm vi ảnh hưởng” của vụ xâm phạm Axios, bản thân nó có hơn 70.000 dependency trực tiếp, có khả năng dẫn đến hậu quả tiềm tàng rất lớn.
Một vấn đề là các team dev hiểu việc loại bỏ các lỗ hổng bảo mật khỏi mã nguồn của họ sẽ đồng nghĩa với việc cập nhật mọi thành phần mã nguồn mở lên phiên bản mới nhất. Tuy nhiên, các nghiên cứu trước đây đã chỉ ra rằng những phiên bản cũ hơn đôi khi lại có sự kết hợp hợp lý giữa các bản vá đã được áp dụng và số lượng lỗ hổng đã biết ít hơn. Trên thực tế, trung bình thì phiên bản thứ ba gần nhất thường là phiên bản an toàn nhất.
Theo người đứng đầu chiến lược rủi ro chuỗi cung ứng phần mềm tại Black Duck, một công ty bảo mật phần mềm, những tiếp cận của các team dev "đồng nghĩa với bất kỳ sự xâm phạm nào đối với một thành phần phổ biến hoặc quan trọng đều có khả năng nhanh chóng lan rộng" vào hệ sinh thái của họ. Theo báo cáo "Phân tích rủi ro và bảo mật nguồn mở" (OSSRA) của Black Duck, năm 2025, gần 2/3 số tổ chức (tương đương 65%) thừa nhận đã là nạn nhân của một cuộc tấn công chuỗi cung ứng phần mềm trong 12 tháng qua.
"Việc vá lỗi ngay lập tức nghe có vẻ hợp lý, nhưng trên thực tế, các team cần thực hiện phân tích rủi ro đối với quy trình phát triển của họ [vì tác động của] cuộc tấn công Axios có thể kéo dài trong một thời gian - đặc biệt là đối với các container image," ông nói.
Tác động sâu rộng từ việc rò rỉ source code
Vấn đề với các vụ vi phạm software supply chain là chúng có thể gây ra những tác động đáng kể trong tương lai nếu sự cố không được hoàn toàn xử lý. Ví dụ, trong trường hợp rò rỉ của Anthropic, toàn bộ kiến trúc của context pipeline, sandbox boundaries và trình xác thực quyền của Claude Code đã bị công khai. Từ đó cung cấp cho kẻ tấn công một bản thiết kế để tạo ra các payload có thể tồn tại qua quá trình context compaction và nhắm mục tiêu vào các lỗ hổng trong chuỗi bảo mật, theo một thành viên AI red team tại Straiker.
Vụ rò rỉ cho thấy workflow phát triển AI đang diễn ra nhanh hơn các biện pháp bảo mật đi kèm, và có thể gây ra tác động rộng hơn
"Các package bị xâm phạm truyền thống chạy trong một runtime giới hạn: một coding agent có quyền truy cập vào toàn bộ hệ thống file, shell, mạng và máy chủ MCP của bạn, vì vậy phạm vi ảnh hưởng là toàn bộ workstation của dev. Các AI agent cũng đưa ra một loại tấn công dai dẳng mới: một chỉ dẫn bị nhiễm mã độc (poisoned instruction) có thể tồn tại sau khi context compaction và xuất hiện trở lại như một chỉ thị hợp lệ đối với mô hình, sau đó len lỏi vào các pull request và production code", chuyên gia chia sẻ.
Các doanh nghiệp cần tập trung vào việc bảo mật các CI/CD pipeline của mình bằng cách hạn chế quyền truy cập vào các thông tin đăng nhập nhạy cảm, đồng thời triển khai các biện pháp quản lý secret mạnh mẽ. Ngoài ra, các developer cần xác thực và kiểm tra các dependency để phát hiện mã độc càng sớm càng tốt.
Bizfly Cloud tổng hợp
