Scurgerea de sursă a codului Claude prin npm: ce s-a întâmplat cu adevărat și de ce contează

Acasă » Piton » Scurgerea de sursă a codului Claude prin npm: ce s-a întâmplat cu adevărat și de ce contează

Accidentul expunerea sursei interne a lui Claude Code prin intermediul npm a transformat o lansare de rutină într-unul dintre cele mai discutate incidente de securitate a inteligenței artificiale din ultimii ani. Ceea ce a început ca o eroare de ambalare în jurul unei hărți de surse JavaScript a ajuns inserând sute de mii de linii din TypeScript-ul Anthropic în mâinile cercetătorilor, concurenților și atacatorilor oportuniști din întreaga lume.

În loc de o breșă clasică care implică apărări perimetrale sau furtul de acreditări, acest caz arată cum eroare umană simplă în publicarea de software poate divulga proprietate intelectuală extrem de sensibilă. Scurgerea de informații nu include ponderi ale modelelor sau date despre clienți, dar expune mecanismele interne ale unuia dintre cele mai avansate asistenți de codare agentică pe piață, de la sistemele sale de memorie și filtrele de siguranță până la funcții experimentale care nu au fost încă menite să fie publice.

Cronologie: de la lansarea npm până la replicarea globală

Incidentul se concentrează pe pachetul npm @anthropic-ai/claude-code, în special versiunea 2.1.88În timpul unei lansări altfel standard, Anthropic a publicat o Fișier hartă sursă JavaScript de aproximativ 60 MB (denumit în mod obișnuit ca cli.js.map) împreună cu pachetul CLI minimizat. În loc să fie eliminată din artefactul de producție, harta respectivă a păstrat o sourcesContent câmp care a încorporat efectiv codul TypeScript original.

Din cauza acelei omisiuni, oricine a luat pachetul a putut reconstruiește aproximativ 1,900 de fișiere și peste 500,000 de linii de TypeScript, expunând rutarea comenzilor CLI, orchestrarea instrumentelor, logica telemetriei, verificările de siguranță și solicitările interne. Harta a indicat, de asemenea, o arhivă zip accesibilă publicului în Bucket-ul de stocare Cloudflare R2 al Anthropic, ceea ce însemna că nu era necesară nicio intruziune: fișierul era pur și simplu acolo, deschis pe internet.

Problema a fost evidențiată pentru prima dată de cercetătorul în securitate Chaofan Shou (@Fried_rice), un coleg de la firma de securitate blockchain Fuzzland, care a postat un link direct către bucket-ul expus pe X. În câteva ore, depozitele oglindă au apărut pe GitHub, unele atrăgând rapid zeci de mii de stele, pe măsură ce dezvoltatorii s-au grăbit să cloneze și să inspecteze codul înainte ca acesta să dispară.

Antropic a reacționat prin extragerea versiunii npm afectate și lansând un val de cereri de eliminare conform DMCA care vizau GitHub și alte platforme de găzduire. Cu toate acestea, până la declanșarea campaniei de eliminare, nenumărate copii fuseseră deja arhivate, bifurcate și redistribuite, ceea ce făcea practic imposibilă retragerea completă a materialului.

Cum o eroare de ambalare a distrus un agent de inteligență artificială emblematic

Pe hârtie, publicarea unei noi versiuni a Codului Claude pe npm ar trebui să fie o sarcină de rutină: să lanseze un pachet JavaScript minimizat, să includă doar ceea ce este strict necesar și să se bazeze pe fișiere de configurare (cum ar fi .npmignore sau files câmp în package.json) pentru a împiedica apariția artefactelor de depanare în pachetul final.

În acest caz, mai multe alegeri minore s-au adunat într-un mod complet greșit. Canalul de construcție a folosit Legătură de chifle, Care generează hărți sursă în mod implicitNicio etapă ulterioară din fluxul de compilare sau împachetare nu a eliminat acea hartă și o listă de ignorare configurată greșit Asta a însemnat că harta a fost trimisă direct către registrul public. De acolo, natura deschisă și oglindită global a NPM a făcut restul.

Anthropic a subliniat că fără date sensibile ale clienților, acreditări sau ponderi ale modelului au făcut parte din scurgerea de informații. În schimb, aceasta a fost o problemă pură de ambalare: metadatele de depanare destinate depanării interne au fost incluse accidental într-o versiune de producție. Această încadrare este corectă dintr-o perspectivă îngustă a securității, dar subestimează cât de multe informații strategice se află în baza de cod a unui agent IA modern.

Complicând și mai mult lucrurile, aceasta a fost nu pentru prima dată Ceva de genul acesta se întâmplase. O scurgere de informații similară despre hărțile sursă ar fi afectat o versiune anterioară a codului Claude în februarie 2025Două incidente aproape identice petrecute în decurs de aproximativ 13 luni ridică inevitabil întrebări cu privire la cât de riguros este Anthropic să aplice barierele de siguranță în lansările sale.

Ce dezvăluie de fapt Codul Claude, divulgat prin scurgere

Odată ce cercetătorii și dezvoltatorii au început să examineze fișierele recuperate, a devenit clar că aceasta nu era o privire superficială asupra unor scripturi auxiliare, ci o... secțiune transversală arhitecturală completă a interfeței CLI a lui Claude CodeArborele TypeScript se întinde pe aproximativ o jumătate de milion de linii și acoperă:

• Execuția și orchestrarea instrumentelor: cum Claude Code planifică, secvențiază și invocă instrumente, shell-uri și servicii externe.
• Scheme de permisiuni și reguli de sandboxing: logica exactă care decide ce comenzi pot rula, cu ce parametri și în ce medii.
• Sisteme de memorie și managementul contextului: strategii pentru gestionarea sesiunilor de lungă durată fără pierderea coerenței.
• Telemetrie și analiză: ce este măsurat, agregat și trimis înapoi către Anthropic.
• Solicitări de sistem și semnalizări ale funcțiilor: instrucțiunile ascunse care modelează comportamentul agentului și activează capacitățile experimentale.

Analizele comunitare au evidențiat o design de memorie cu trei straturi centrat pe un fișier adesea descris ca MEMORY.mdÎn loc să înregistreze istoricul brut al interacțiunilor la nesfârșit, Claude Code menține o structură de referință indexată, bazată pe temeAgentul consultă acel index atunci când trebuie să își reia lucrările anterioare, extragând doar fragmentele relevante pentru sarcina curentă și urmând reguli stricte de scriere pentru a reduce deviația contextului și auto-coruperea.

Această abordare bazată pe „memorie cu scepticism sănătos” ajută la atenuarea entropia conversațiilor de lungă durată, unde acumularea de context naiv ar face ca agentul să devină inconsistent sau să aibă halucinații. Pentru alte echipe care construiesc instrumente agențice, scurgerea este practic o clasă de master gratuită despre orchestrarea memoriei la nivel de producție.

Sursa expune, de asemenea, diverse mecanisme interne de telemetrie. Printre acestea se numără logica conform căreia semnale de frustrare — de exemplu, scanarea pentru limbaj vulgar în prompturi — fără a păstra conversațiile complete ale utilizatorilor sau bazele de cod. O altă piesă demnă de remarcat este o modul „sub acoperire” sau stealth conceput pentru a elimina numele de cod interne ale proiectului și alți identificatori sensibili din commit-urile git și cererile de extragere, astfel încât contribuțiile scrise cu ajutorul inteligenței artificiale să nu dezvăluie accidental detalii proprietare.

Dincolo de sistemele deja vizibile în produs, referințele la baza de cod funcționalitate nelansată sau ascunsă controlate prin semnalizatoare de funcții: moduri pentru operare în fundal, coordonare între mai mulți agenți și chiar atingeri jucăușe ale interfeței utilizator, precum companionii de terminal.

Module nelansate: KAIROS, BUDDY și roiuri multi-agenți

Unele dintre cele mai interesante descoperiri se învârt în jurul unor capabilități pe care Anthropic nu le anunțase încă public, care sunt acum expuse în detalii inginerești granulare. Unul dintre modulele remarcabile este KAIROS, descris în comentarii și configurație ca fiind un daemon în fundal care rulează continuu care urmărește modificările fișierelor, înregistrează evenimentele și efectuează așa-numitele vis sau consolidarea „onirică” trece atunci când utilizatorul este inactiv.

În practică, KAIROS pare să-i ofere lui Claude Code ceva apropiat de Autonomie „întotdeauna activă”În loc să aștepte pasiv solicitări, agentul se poate trezi periodic, își poate reindexa înțelegerea unei baze de cod, își poate curăța structurile de memorie și poate pregăti planuri mai bune pentru sesiunile de lucru viitoare. Pentru echipele care experimentează cu agenți complet autonomi, acest lucru dezvăluie, în esență, modelul Anthropic pentru lucrătorii în fundal, cu durată lungă de viață.

O altă caracteristică care a captivat rapid atenția internetului este BUDDY, portretizat în cod ca un fel de mascota din partea terminaluluiImplementarea include 18 „specii” diferite — una dintre ele o capibara — precum și statistici jucăușe, cum ar fi DEBUGGING, PATIENCE și CHAOSDeși la suprafață pare extravagant, BUDDY sugerează că Anthropic experimentează cu experiențe de dezvoltare mai expresive și mai conștiente din punct de vedere emoțional.

La capătul mai serios al spectrului se află o arhitectură pentru colaborarea multi-agent. Descrisă intern prin construcții precum un Modul COORDONATOR și Ședințe ULTRAPLAN, acest sistem permite unui agent principal generarea și supravegherea flotelor de agenți muncitori în paralel. Fragmentele de documentație fac referire la întâlniri de planificare la distanță între agenți, cu o durată de 10 până la 30 de minute, sugerând un model în care Claude Code poate împărți o sarcină mare, delega subsarcini către asistenți și apoi îmbina rezultatele.

Există, de asemenea, indicii despre module și variante de model încă în curs de dezvoltare, inclusiv referințe la nume interne, cum ar fi Capibara, încadrate ca evoluții ale familiei Claude 4.x. Metricile încorporate în cod menționează ratele fals pozitive oscilând în jurul a 29-30% pentru unele sisteme de siguranță sau detectare, comparativ cu aproximativ 16.7% în rundele anterioare — cifre sincere care în mod normal ar rămâne în tablourile de bord inginerești.

Luate împreună, aceste descoperiri transformă arborele scurs în o imagine de ansamblu asupra strategiei agenților Anthropic: unde compania vede limitele autonomiei utile, cum dorește ca agenții să colaboreze și cu ce compromisuri se confruntă în prezent.

Evadări din închisoare, clone și consecințe negative asupra lanțului de aprovizionare

Chiar dacă nu au fost expuse parole sau token-uri, specialiștii în securitate sunt departe de a fi relaxați. Având la îndemână logica CLI completă, devine mult mai ușor să reproiectare inversă a balustradelor lui Claude Code și explorați căile din jurul lor. Ceea ce era odată o cutie neagră este acum o rețetă pas cu pas pentru modul în care instrumentul analizează comenzile, aplică filtre și decide dacă ceva este sigur pentru a fi rulat în terminalul unui utilizator.

Această transparență poate fi o sabie cu două tăișuri. Pe de o parte, cercetătorii defensivi pot acum auditează modelul de siguranță într-o profunzime fără precedent și sugerează strategii de consolidare a securității. Pe de altă parte, atacatorii pot crea cu atenție solicitări și manipulări de context pentru a strecura instrucțiuni malițioase printre validatorii Bash, exploatează diferențele subtile dintre straturile de permisiuni sau convinge agentul să îndeplinească acțiuni pe care nu a fost niciodată menit să le îndeplinească.

O îngrijorare strâns legată este creșterea numărului de clone rău intenționate sau contrafăcuteCu o bază de cod disponibilă pentru producție, este banal pentru un actor motivat să elimine brandingul și telemetria, să injecteze backdoor-uri sau logică de exfiltrare a datelor și să publice un pachet aproape identic sub un nume ușor modificat. Pentru dezvoltatorii care instalează instrumente din npm pe pilot automat, riscul de a introduce un agent „asemănător lui Claude” contaminat este acum semnificativ mai mare.

Momentul scurgerii de informații a amplificat aceste îngrijorări. În aceeași perioadă, npm s-a confruntat cu o atac independent asupra lanțului de aprovizionare popular axios pachet, cu versiuni rău intenționate active între aproximativ 00:21 și 03:29 UTC. Acel incident paralel a subliniat cât de fragil poate fi ecosistemul JavaScript în ceea ce privește încrederea în dependențe.

Îndrumările de securitate pentru echipele care au instalat sau actualizat Claude Code prin npm în acea perioadă au fost directe: auditează arborele de dependențe, în special pentru pachete precum axios și plain-crypto-js; rotiți acreditările care ar fi putut fi prezente pe sistemele afectate; și monitorizați îndeaproape comportamentul anormal. Anthropic, la rândul său, a sugerat în mod explicit preferând instalatorul său nativ în locul lui npm mergând înainte pentru a micșora suprafața de atac.

Răspunsul oficial al Anthropic și eforturile DMCA

Când vestea despre scurgerea de informații a apărut, Anthropic a acționat rapid pentru a modela narațiunea. În comentariile distribuite unor publicații precum TecMundo și VentureBeat, compania a subliniat că Aceasta a fost o problemă de ambalare a lansării cauzată de o eroare umană, nu o încălcare a infrastructurii interne sau un atac cibernetic extern.

Mesajul principal a rămas consecvent: fără secrete ale clienților, fără acreditări, fără ponderi ale modelului scursese informații; doar logica internă a aplicației a fost expusă. Declarația a subliniat, de asemenea, că Anthropic era deja implementarea unor măsuri de siguranță pentru a preveni incidente similare în construcțiile viitoare, deși autopsiile detaliate nu au fost făcute publice.

Pe plan juridic, compania a demarat o acțiune energică Campanie de eliminare a conținutului prin DMCAGitHub și alte gazde au început să primească cereri de eliminare a depozitelor care oglindesc codul sursă Claude Code, unele dintre cele mai importante oglinzi dispărând după ce au acumulat o atenție și discuții semnificative.

În ciuda acestor mișcări, realitatea practică este că, odată ce o bază de cod de această dimensiune iese în evidență, ținerea completă a controlului este aproape imposibilăCopiile arhivate circulă privat, pachetele criptate se află pe site-uri generice de partajare a fișierelor, iar subseturi ale codului au fost deja portate sau reimplementate în alte limbaje de programare precum Python și Rust de către entuziaști care doresc să ocolească constrângerile privind drepturile de autor.

Incidentul a avut loc și la doar câteva zile după o altă eroare de configurație, se pare. a expus aproximativ 3,000 de fișiere interne legat de un model nelansat cunoscut sub numele de „Claude Mythos” printr-un CMS configurat greșit. Două perioade de publicare fără legătură în mai puțin de o săptămână i-au determinat în mod natural pe observatori să pună la îndoială Igiena operațională a Anthropic în ceea ce privește lansările de conținut și cod.

Impact mai amplu asupra ecosistemului IA și a concurenților

Din punct de vedere comercial, scurgerea de informații afectează un produs care era deja considerat... unul dintre principalii factori de venit ai AnthropicEstimările din industrie estimează veniturile recurente anuale ale Claude Code la miliarde de dolari, marea majoritate a utilizării provenind de la clienții din mediul de afaceri. Acest lucru face ca interfața CLI să nu fie doar o jucărie pentru dezvoltatori, ci o... pilon strategic al foii de parcurs comerciale a companiei.

Prin punerea la dispoziție a unei mari părți din arhitectura sa, incidentul le oferă efectiv echipelor rivale un manual de inginerie profund detaliat care altfel ar necesita ani de experimentare și un capital semnificativ pentru compilare. Instrumentele concurente, inclusiv IDE-urile agențice mai noi și copiloții de codare, își pot compara acum propriile abordări cu deciziile de design din lumea reală ale Anthropic, în loc să opereze pe baza unor presupuneri și a unui limbaj de marketing.

În același timp, scurgerea reduce bariera de intrare pentru potențialii Concurenții Claude CodeAcum este mult mai ușor să asamblezi un agent cu modele de memorie similare, fluxuri de lucru în fundal și capacități de coordonare, făcând referire la implementări care au fost deja optimizate pentru utilizare în producție. În acest sens, o parte din șanțul intelectual al Anthropic a devenit brusc cunoștințe partajate pentru industria în general.

Istoria sugerează că astfel de evenimente pot avea un efect paradoxal. Pe de o parte, ele accelerarea inovației în întregul domeniu, pe măsură ce tot mai multe echipe învață din exemple de înaltă calitate. Pe de altă parte, ele reduc diferențierea companiilor aflate la început, forțând companiile deja existente să se miște mai repede și să investească mai mult în caracteristici diferențiatoare, siguranță și fiabilitate.

Pentru startup-urile și cumpărătorii de companii care evaluează instrumentele de inteligență artificială, episodul ar putea, de asemenea, să schimbe subtil așteptările. Este probabil ca potențialii clienți să preseze mai mult furnizorii. disciplina de lansare, măsurile de siguranță CI/CD și procesele de răspuns la incidente, tratând canalele de publicare securizate ca o parte nenegociabilă a oricărei platforme serioase de inteligență artificială.

Lecții de securitate: de la fișierele de configurare la serverele MCP

Liderii și practicienii din domeniul securității au folosit scurgerea de informații ca punct de plecare pentru a propune trepte defensive din beton pentru organizațiile care deja experimentează cu instrumente de codare agentică. O recomandare recurentă este să fișiere de configurare a auditului asociate cu Claude Code, Cum ar fi CLAUDE.md și .claude/config.json, care pot acționa ca vectori cu privilegii ridicate pentru injectarea de instrucțiuni ascunse sau relaxarea setărilor de siguranță.

Un alt domeniu de accent este tratarea serverelor de instrumente externe și a punctelor finale Model Context Protocol (MCP) ca dependențe nesigureOdată ce suprafețele contractuale sunt acum prezentate în detaliu, operatorii rău intenționați ar putea încerca să se dea drept servere legitime sau să modifice subtil comportamentul în acele puncte de integrare. Fixarea versiunilor, monitorizarea modificărilor și înăsprirea controalelor de acces pot reduce acest risc.

Având în vedere cât de repede poate un asistent cu inteligență artificială să miște codul, echipele sunt, de asemenea, îndemnate să blochează permisiunile shell și scanează sistematic pentru secrete înainte ca aceștia să ajungă vreodată într-un depozit. Aceleași abilități care fac agenții productivi - editarea rapidă a configurațiilor, conectarea componentelor continue și accesul la mai multe servicii - pot la fel de ușor amplifica o singură eroare și o scurgere gravă de date de acreditări.

În cele din urmă, există o presiune tot mai mare asupra organizațiilor pentru a urmăriți proveniența angajamentelor asistate de inteligență artificialăPe măsură ce tot mai mult cod la nivel mondial este scris sau modificat de agenți, autoritățile de reglementare și auditorii se pot aștepta în mod rezonabil la politici clare de divulgare, o înregistrare robustă a datelor și modalități de verificare a originii logicii critice, în special în domenii sensibile sau reglementate.

Luate în ansamblu, aceste sugestii reflectă o trecere de la tratarea agenților IA ca doar un alt instrument de dezvoltare la recunoașterea lor ca infrastructură de bază cu propriile modele de amenințări dedicate, vulnerabilitățile lanțului de aprovizionare și nevoile de guvernanță.

Per total, scurgerea de informații despre Codul Claude prin intermediul npm este mai puțin o poveste despre o singură versiune defectuoasă și mai mult despre cum Micile greșeli familiare din fluxurile de programe software moderne pot remodela peisajul competitiv și de securitate în jurul inteligenței artificiale. Având în vedere că strategia internă a agentului este acum efectiv publică, Anthropic și competitorii săi se confruntă cu o presiune tot mai mare pentru a-și consolida fluxurile de publicare, a regândi câtă logică expun la marginea datelor și a construi culturi în care detaliile de configurare sunt la fel de atent examinate ca orice arhitectură de model de ultimă generație.