Axios, hay Axios NPM, là một thư viện thiết yếu được hàng triệu nhà phát triển sử dụng hàng ngày dùng để gửi yêu cầu tới máy chủ, đóng vai trò như hệ thống đường ống dẫn dữ liệu của mạng internet cho phép các phần mềm kết nối với web. Thư viện này hiện diện trong phần lớn các ứng dụng hiện đại và ghi nhận mức tải xuống khổng lồ lên tới 80 triệu lần mỗi tuần.

Đi sâu vào chi tiết vụ việc, vào đêm thứ Hai, một tin tặc chưa rõ danh tính đã vượt qua các lớp bảo mật để xâm nhập thành công vào một trong số ít các tài khoản quản trị có quyền phát hành phiên bản mới của Axios. Ngay sau đó, kẻ tấn công đã tung ra các bản cập nhật chứa mã độc ẩn mình dưới vỏ bọc phần mềm chính thức. Đoạn mã nguy hiểm này đã tồn tại trên hệ thống khoảng ba giờ đồng hồ trước khi được phát hiện và khẩn cấp gỡ bỏ.

Trong khi đó, rắc rối của Anthropic lại xuất phát từ chính nội bộ công ty. Đại diện Anthropic xác nhận một bản cập nhật của Claude Code đã vô tình đính kèm các đoạn mã nguồn lõi do sai sót trong quy trình đóng gói của nhân sự. Dù công ty nhấn mạnh không có dữ liệu nhạy cảm nào của người dùng bị xâm phạm, tình hình vẫn trở nên căng thẳng khi đây đã là sai sót bảo mật thứ hai của Anthropic chỉ trong một tuần.

Vài ngày trước đó, công ty đã vô tình để mở quyền truy cập của hàng nghìn tệp tin, bao gồm cả một bài đăng blog nháp trình bày chi tiết về mô hình AI sắp ra mắt mang bí danh Mythos và Capybara.

Dù sự cố Axios đã được cô lập, các chuyên gia an ninh mạng vẫn đánh giá mức độ tàn phá tiềm tàng là cực kỳ nghiêm trọng. Ông John Hammond, nhà nghiên cứu bảo mật cấp cao tại Huntress, cảnh báo đoạn mã độc có khả năng được vũ khí hóa để xâm nhập vào các hệ điều hành phổ biến bao gồm Windows, MacOS và Linux. Bất kỳ ai đã tải xuống phiên bản Axios lỗi trong khung thời gian ba giờ nói trên đều đứng trước nguy cơ bị tin tặc chiếm quyền điều khiển máy tính và đánh cắp dữ liệu.

Kịch bản này làm dấy lên nỗi ám ảnh về các cuộc tấn công chuỗi cung ứng quy mô lớn, tương tự thảm họa an ninh mạng nhắm vào phần mềm SolarWinds năm 2020 do nhóm tin tặc được nhà nước Nga hậu thuẫn thực hiện. Ở diễn biến song song, việc rò rỉ mã nguồn của Anthropic đang tạo ra chấn động trong cộng đồng công nghệ.

Trên nền tảng X, hàng loạt nhà phát triển đang mổ xẻ từng dòng lệnh bị lộ để dự đoán lộ trình tiến hóa của nền tảng AI này. Việc phơi bày cấu trúc mã lõi cùng các tài liệu về mô hình Mythos không chỉ tiết lộ bí mật thương mại mà còn đặt ra nhiều dấu hỏi về lỗ hổng an ninh tiềm ẩn, buộc giới chuyên gia phải nâng cao cảnh giác trước rủi ro an toàn thông tin trong kỷ nguyên trí tuệ nhân tạo.