Bỏ qua đến nội dung chính
Về trang chủ
AI tools-ai Tech 3 phút đọc

Nghi vấn rò rỉ bộ nhớ đệm và phiên làm việc trên Claude Code

Một báo cáo lỗi mới đây trên GitHub chỉ ra lỗ hổng bảo mật nghiêm trọng có thể làm rò rỉ dữ liệu giữa các tài khoản người dùng của công cụ Claude Code.

Tier 2 · nguồn 99% độ tin cậy Đã được duyệt
Nguồn gốc github.com

Công cụ lập trình tự động Claude Code của Anthropic đang đối mặt với báo cáo nghiêm trọng về lỗi bảo mật liên quan đến việc rò rỉ phiên làm việc (session) và bộ nhớ đệm (cache) giữa các phiên bản không gian làm việc hoặc tài khoản người dùng khác nhau. Vấn đề này được phát hiện và báo cáo trực tiếp trên kho lưu trữ mã nguồn chính thức của dự án trên GitHub, dấy lên lo ngại lớn trong cộng đồng lập trình viên về tính an toàn của dữ liệu mã nguồn khi sử dụng các công cụ hỗ trợ AI.

Diễn biến chi tiết

Sự việc bắt đầu khi một lỗi có mã hiệu #74066 được mở trên GitHub của dự án Claude Code thuộc Anthropic. Theo nội dung báo cáo ban đầu, hệ thống dường như không cô lập hoàn toàn dữ liệu giữa các môi trường làm việc khác nhau của người dùng. Điều này dẫn đến nguy cơ một tài khoản tiêu dùng thông thường có thể tiếp cận hoặc bị lẫn lộn dữ liệu bộ nhớ đệm từ một tài khoản hoặc không gian làm việc khác đang hoạt động song song.

Phân tích kỹ thuật & Công nghệ

Hiện tượng rò rỉ bộ nhớ đệm (cache leakage) trong các công cụ CLI hoặc tác nhân AI như Claude Code thường xảy ra do cơ chế lưu trữ tạm thời các token xác thực hoặc lịch sử hội thoại không được định danh chính xác theo phiên của từng người dùng cụ thể. Khi nhiều không gian làm việc cùng chia sẻ chung một tài nguyên hệ thống hoặc phân vùng lưu trữ tạm dưới nền, việc thiếu các rào cản phân quyền nghiêm ngặt sẽ khiến dữ liệu nhạy cảm dễ dàng bị truy cập chéo.

Ý kiến chuyên gia & Nhận định

Nhiều lập trình viên trên diễn đàn Hacker News bày tỏ sự quan ngại sâu sắc vì các công cụ hỗ trợ viết code bằng AI thường có quyền truy cập rất sâu vào toàn bộ kho mã nguồn của doanh nghiệp. Nếu thông tin phiên làm việc bị rò rỉ, kẻ xấu có thể lợi dụng để đánh cắp các khóa API bảo mật hoặc mã nguồn sở hữu trí tuệ có giá trị cao.

Tác động & Tương lai

Anthropic hiện chưa đưa ra phản hồi chính thức hay bản vá khẩn cấp cho lỗ hổng bảo mật tiềm ẩn này. Đối với các nhà phát triển tại Việt Nam và quốc tế đang áp dụng Claude Code vào quy trình sản xuất, việc tạm thời hạn chế sử dụng công cụ này cho các dự án chứa dữ liệu nhạy cảm hoặc thiết lập các biện pháp cô lập môi trường chạy (sandbox) là điều thực sự cần thiết lúc này.