Tin tức Gate News, ngày 25 tháng 3, kỹ sư của Ant Group, tác giả của framework front-end Umi.js, Chen Cheng, đã phân tích ngược mã nguồn của Claude Code 2.1.81, hoàn chỉnh tái tạo cơ chế quyết định của Chế độ Tự Động (Auto Mode). Phát hiện chính: mỗi lần gọi công cụ đều phải trải qua bốn tầng quy trình quyết định, chỉ khi ba tầng đầu không thể xác định được thì mới gọi bộ phân loại AI độc lập để kiểm tra an toàn.
Bốn tầng quy trình lần lượt là: tầng một kiểm tra các quy tắc quyền đã có, nếu trùng khớp thì cho phép trực tiếp; tầng hai mô phỏng chế độ acceptEdits (cho phép chỉnh sửa tệp tin), nếu trong chế độ này được phép thì chứng tỏ rủi ro thấp, bỏ qua bộ phân loại; tầng ba kiểm tra danh sách trắng các công cụ chỉ đọc (Read, Grep, Glob, LSP, WebSearch, v.v.), những công cụ này không thay đổi trạng thái nào, vô điều kiện cho phép; nếu không đáp ứng các điều kiện trên, mới chuyển sang tầng bốn, gửi yêu cầu API độc lập đến Claude Sonnet để phân loại an toàn.
Chi tiết thiết kế chính của bộ phân loại bao gồm: luôn sử dụng Sonnet thay vì Opus, nhằm cân nhắc giữa chi phí và độ trễ; đặt temperature bằng 0 để đảm bảo đầu ra nhất quán; bộ phân loại được định nghĩa là “nhân viên giám sát an toàn của AI lập trình tự chủ”, bảo vệ ba loại rủi ro (tiêm lệnh, lan rộng phạm vi, thiệt hại ngoài ý muốn); tệp cấu hình CLAUDE.md của người dùng sẽ được tiêm vào ngữ cảnh của bộ phân loại, làm căn cứ để xác định ý định của người dùng.
Quy tắc chặn bao phủ hơn 22 loại, bao gồm force push, đẩy thẳng vào nhánh chính (main), tải xuống và thực thi mã bên ngoài, triển khai sản xuất, rò rỉ dữ liệu, tự sửa đổi quyền, tạo lỗ thực thi mã từ xa, rò rỉ chứng thực, v.v. Các trường hợp cho phép vượt qua gồm 7 loại: khóa mã cứng dùng cho thử nghiệm, thao tác tệp cục bộ trong thư mục làm việc, yêu cầu GET chỉ đọc, cài đặt các phụ thuộc đã khai báo, cài đặt công cụ chính thức, đọc chứng thực cấu hình gửi đến nhà cung cấp mục tiêu, đẩy lên nhánh làm việc hiện tại.
Hệ thống còn thiết lập cơ chế ngắt quãng: sau 3 lần bị từ chối liên tiếp hoặc tổng cộng 20 lần bị từ chối, hệ thống sẽ giảm cấp xuống xác nhận thủ công; trong chế độ headless, sẽ trực tiếp dừng Agent. Khi bộ phân loại không khả dụng, sẽ có một cờ tính năng (feature flag) kiểm soát là “fail-closed” (từ chối trực tiếp) hoặc “fail-open” (giảm cấp xuống xác nhận thủ công).
Trong chế độ Auto Mode, việc tiêm lệnh cảnh báo hành vi có kiểm soát tần suất tinh vi: cứ 5 lượt hội thoại sẽ tiêm một lần, trong chu kỳ tiêm 5 lần, lần đầu tiên là bản đầy đủ (khoảng 800 từ, bao gồm “thực thi ngay lập tức, giảm gián đoạn, hành động hơn kế hoạch” cùng sáu chỉ thị), 4 lần còn lại là phiên bản rút gọn, nhằm cân bằng giữa dung lượng trong cửa sổ ngữ cảnh và độ ổn định của hành vi.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
